You are on page 1of 64

Asegurar AS/400s

Más y más propietarios de AS/400 están explorando sus opciones para vincular sus sistemas a Internet. La primera pregunta que hacen es por lo general, "¿Cómo puedo hacerlo?" La segunda pregunta es: "¿Qué pasa con la seguridad?" Este folleto intenta responder a la segunda pregunta para AS/400 en Internet: "¿Qué pasa con la seguridad?" Nota: Para obtener respuestas a la primera pregunta, "¿Cómo lo hago," veo "Dónde obtener más información y asistencia". En él se enumeran publicación y ofertas de servicios que están disponibles para ayudarle. En particular, vea el nuevo libro rojo, fresco Título Sobre el AS/400 y el Internet, SG24-4815 y de la configuración y de referencia TCDPIIP . AS/400 Fortalezas Seguridad: La respuesta simple a "¿Qué pasa con la seguridad?" es que AS/400 tiene fuertes características de seguridad, que incluye lo siguiente:

AS/400 seguridad integrada es extremadamente difícil de eludir en comparación con las ofertas de seguridad de otros sistemas que son paquetes de software adicionales. AS/400 arquitectura basada en objetos hace que sea técnicamente difícil de crear y propagar el virus. En el AS/400, un programa no puede modificar otro programa. AS/400 arquitectura basada en objetos requiere el uso proporcionados por el sistema interfaces para acceder a los objetos. No se puede acceder a un objeto directamente por su dirección en el sistema. No se puede manipular el puntero de un objeto para hacer un punto a otro objeto. (Manipulación Pointer es una técnica popular para los hackers en otras arquitecturas de sistemas.) AS/400 flexibilidad le permite configurar la seguridad de su sistema para satisfacer sus necesidades.

Su política de seguridad y las necesidades: La larga respuesta a "¿Qué pasa con la seguridad?" empieza por "depende". Su definición de la seguridad puede ser diferente a otra persona. La configuración de seguridad apropiada depende tanto de la forma en que se conecte a Internet y qué funciones de Internet que desea utilizar. ¿Quieres ser un cliente o un servidor de sólo lectura? ¿O usted quiere tomar los primeros pasos hacia el comercio electrónico? En última instancia, la respuesta larga es que la seguridad depende de usted. AS/400 proporciona un sólido conjunto de herramientas de seguridad, pero usted debe tomar el tiempo para aprender acerca de las herramientas y

utilizarlas. También debe aprender sobre la seguridad de red - tanto los riesgos y las posibles soluciones. Si usted tiene una política de seguridad de hoy en día, es probable que tenga que revisarlo para abordar sus planes para una conexión a Internet. Si usted no tiene una política de seguridad hoy en día, ahora es el momento de desarrollar una. Al ampliar su organización en Internet, una política de seguridad proporciona una piedra angular importante para su planificación. El resto de esta guía proporciona ejemplos de conexiones a Internet, algunos de los riesgos de seguridad asociados con ellos, y la consideración para ayudarle a reducir esos riesgos. Los ejemplos se basan en uno al otro. Leer a través de ellos y desarrollar una combinación que se ajuste más a sus necesidades.

Un cambio en el pensamiento de Seguridad
Si usted está pensando en la vinculación de su sistema informático de negocios AS/400 a Internet, es probable que tenga que empezar por revisar algunas de sus ideas sobre la seguridad. El sistema AS/400 típica existe en un ambiente agradable, con un conjunto bien definido de usuarios potenciales. Proporciona una entrada de seguridad (y la contraseña de inicio de sesión) y el acceso bastante abierto una vez que estás dentro. La mayoría de los archivos están disponibles para ser vistos por cualquier usuario que pueda registrarse en el sistema (la autoridad pública es USE). Unos archivos confidenciales y sensibles, tales como los archivos de nómina, debe estar disponible sólo para unos pocos usuarios (autoridades públicas estén EXCLUIR ). Desde una perspectiva de seguridad, el AS/400 típica se asemeja a un edificio. Las puertas (y ventanas) están bloqueados. Los usuarios necesitan una clave (password) para acceder. Dentro del edificio, la mayoría de las habitaciones tienen puertas que no están bloqueados. Algunas de las habitaciones, o cajones de archivos dentro de las habitaciones, tienen cerraduras que requieren claves (autorización). Al proporcionar acceso a su sistema a través de Internet, es posible que dejando muchos extranjeros de todo el mundo entrar en el sistema, o al menos examinar los documentos que están en su sistema. El punto de vista del sistema que se muestra como una casa para hacerte sentir incómodo, y lo que debería.Es necesario pasar a una necesidad de saber enfoque pensamiento de seguridad. Decida lo que el visitante necesita saber Internet y evitar el acceso a cualquier otra cosa. ¿Cómo se configura una necesidad de conocer el medio ambiente depende del tipo de servidor de Internet que desea proporcionar.

Además de tomar una mirada más estricta, más rigurosa a la seguridad en su propio sistema, es necesario ampliar su visión. A medida que su red crece, tanto a nivel interno con la LAN, por ejemplo, como externamente con Internet, debe tener en cuenta tanto la seguridad del sistema y la seguridad de la red.

Proceder con Precaución
En este momento, tiene que dar el primer paso importante de convertirse en un pensador de seguridad más rigurosos. Cambie a una "necesidad de saber" y la mentalidad "de necesidad de hacer". Cada vez que desee hacer una nueva aplicación disponible en Internet, comience por hacer las siguientes preguntas: • ¿Qué hace el usuario de Internet tiene que saber y hacer? • ¿Cómo evitamos que el usuario de Internet de ver o hacer cualquier otra cosa?

¿Qué acceso funciona su programa o aplicación da a los usuarios de Internet, ya sea directa o indirectamente?

TCP / IP e Internet están diseñados para la apertura y la interoperabilidad para que los clientes de Internet y servidores de Internet de muchos proveedores diferentes pueden comunicarse e intercambiar información con éxito. Esta apertura hace que sea difícil de construir las capacidades de seguridad de red. En primer lugar, los distintos proveedores deben ponerse de acuerdo sobre las normas de seguridad. Por ejemplo, cuando se envía contraseñas encriptadas, ambas partes deben utilizar el mismo método para generar claves de cifrado y los mismos algoritmos para cifrar y descifrar. Muchos grupos están trabajando para desarrollar estándares de seguridad de la red, pero queda mucho trabajo por hacer. En el pasado, con una red limitada, privado, podría equiparar la seguridad con la seguridad del sistema. Mediante el uso de las capacidades de seguridad fuertes de AS/400, puede estar seguro de que su información está protegida. Ahora, cuando se conecta a Internet, o proporcionar acceso dial-up a su sistema, tiene que pensar también en la seguridad de redes, que es un objetivo principal de este folleto. Muy pocos usuarios de Internet son maliciosos. La mayoría están simplemente buscando información y las formas más eficientes de hacer negocios. Sin embargo, los hackers están ahí fuera, y hay que estar preparados. AS/400 proveedores de capacidades de seguridad más integradas que muchos servidores de Internet. Sin embargo, dado el entorno actual es más amigable que el de Internet, es posible que no se utilice la totalidad de las capacidades de seguridad de AS/400 que están disponibles. Por esta razón, los ejemplos más adelante en

Protección de los recursos asegurando que sólo los usuarios autorizados pueden acceder a los objetos en el sistema. autenticación de usuarios adquiere nuevas dimensiones. en consonancia con el rendimiento esperado. Para AS/400. Ustedes puertas abiertas (las nuevas aplicaciones de Internet o nueva servidores TCP / IP). Sistema de Integridad La integridad del sistema es la capacidad del sistema para proporcionar los resultados esperados. después de evaluar cuidadosamente los riesgos y las precauciones de seguridad. La autenticación de usuarios asegurando que sólo las personas autorizadas (o trabajos) pueden entrar en el sistema. ya que la integridad del sistema es una parte fundamental de la . Una diferencia importante entre la Internet y de la intranet es su capacidad de confiar en la identidad de un usuario que se registre en. Cada ejemplo incluye consejos y consideraciones para garantizar la seguridad. Una política de seguridad define la importancia de los activos de la empresa que están en nuestro sistema. Una política de seguridad Definir lo que se quiere proteger y lo que espera de los usuarios del sistema. Al vincular el sistema a una red pública como Internet. al igual que el edificio se ha descrito anteriormente. La capacidad para obtener todo tipo de recursos de sistemas es una fuerza AS/400. una a la vez. Sin embargo. También puede encontrar que la conexión a Internet obliga a cambiar su definición de un usuario "público" en el sistema. tales como la protección de la información confidencial y la creación de contraseñas no triviales. sobre todo si se basan principalmente en el control de acceso a los menús. vamos a definir lo que entendemos por "seguridad". Seguridad . Proporciona una base para la planificación de la seguridad cuando sea diseñar nuevas aplicaciones o ampliar su red.una definición Los temas siguientes proporcionan ejemplos de cómo se puede vincular su sistema de informática empresarial AS/400 a Internet. usted podría encontrar que usted no utiliza todas las capacidades de seguridad de los recursos de AS/400. En él se describen las responsabilidades del usuario.este folleto tienen un enfoque paso a paso para la conexión a Internet. la integridad del sistema es el componente más alto de seguridad. Pero primero. Se empieza con el lado de Internet de su sistema encerrado tan firmemente como sea posible. poco a poco.

Como mínimo. Esto comúnmente se llama denegación de servicio. Accesos sin éxito dicen que o bien que alguien está tratando de romper su seguridad o que alguien está teniendo dificultades para acceder a su sistema. es posible que tenga el equivalente electrónico del correo registrado o certificado. Cuando usted piensa acerca de la conexión a Internet. por ejemplo. con el correo no deseado o con la salida impresa.) AS/400 seguridad mínima En los temas siguientes se supone que está comenzando con un sistema AS/400 que es básicamente seguro. por las solicitudes de error. por ejemplo. Su almacenamiento en disco puede ser inundada. Integridad de los datos Garantizar la fiabilidad de los datos que entra en su sistema. Sus usuarios legítimos. Un hacker puede. Cuando los datos que entra en el sistema proviene de una red pública. Asegúrese de que la transmisión no se ha modificado (integridad de datos). es posible que tenga varias protecciones de seguridad: Proteger los datos de ser "olfateó" e interpretado. AS/400 arquitectura. por ejemplo. poner en peligro la capacidad del sistema para dar servicio a solicitudes de los usuarios por la inundación de su sistema. puede que no tenga su página Web correctamente configurado.arquitectura del AS/400.Un hacker puede poner en peligro la integridad de su sistema sin tener éxito en la sesión en el sistema. La auditoría de seguridad de monitoreo eventos relevantes para la seguridad de proporcionar un registro de acceso acertados y fallidos (negado). Accesos exitosos dicen que está haciendo qué. En el futuro. Su procesador puede ser abrumado por ejemplo. Demostrar que se produjo la transmisión (no repudio). el sistema debe cumplir con las siguientes normas de seguridad: . (Por ejemplo. hace que sea extremadamente difícil para un revoltoso de imitar o modificar un programa de sistema operativo (cuando se utiliza el nivel de seguridad 40 o 50). o bien no pueden iniciar sesión o recibir malos resultados debido a que su sistema está gastando los recursos relativos a las solicitudes autorizadas. usted necesita pensar acerca de la integridad de su sistema y cómo un hacker puede tratar de asalto él. por lo general mediante la encriptación.

ya que proporcionan una mayor protección de la integridad Establezca los valores del sistema de seguridad pertinentes que ser al menos tan restrictivas como las configuraciones recomendadas. La necesidad de considerar un cortafuegos cuando se conecta el servidor AS/400 a Internet no es diferente que cuando se conecta a otros servidores de Internet. Estas no son las únicas opciones disponibles. Nivel 40 o 50 es muy recomendable. Utilice las autorizaciones sobre objetos para proteger sus recursos importantes del sistema. las herramientas de seguridad están disponibles en la Seguridad ToolKit PRPQ. Un cortafuegos correctamente configurado y administrado casi siempre es el método más seguro para conectar su sistema al resto del mundo. incluidos los perfiles de usuario suministrados por IBM. Utilice las herramientas de seguridad y consejos y herramientas para la seguridad del AS/400 para ayudar a administrar y supervisar la seguridad en su sistema. • • • Algunos comentarios sobre los ejemplos: Los ejemplos que siguen ofrecen opciones típicas para conectar su sistema a Internet. El comando PRTSYSSECA mando y CHKDFTPWD o ANZDFTPWD son parte de las herramientas de seguridad. Control de acceso de menú no tiene sentido de muchas de las herramientas que son utilizadas por los usuarios de Internet. NOTA: Para las versiones anteriores a la V3R2. los dos están limitando sus puntos de exposición y ocultar la configuración de red de los demás. tiene contraseñas por defecto. Mediante el uso de un servidor de seguridad. . Asegúrese de que no hay perfiles de usuarios.• • Establezca el nivel de seguridad (valor del sistema QSECURITY) para tener por lo menos 30. Usted puede utilizar el sistema de impresión atributos de seguridad (PRTSYSSECA) comando para comparar los ajustes a los valores recomendados. Utilizarán el control de contraseñas por defecto (CDKDFTPWD) de comandos o de las contraseñas predeterminadas analizados (ANZDFTPWD) comando para comprobar esto. Debe configurar las autorizaciones sobre objetos en el sistema. Ellos discuten los riesgos de seguridad y las posibles soluciones. ni son necesariamente las opciones más seguras.

Comienzan con el supuesto de que no se está usando el protocolo TCP / IP para comunicarse con otros sistemas de la red propia. los PC de esta configuración son más vulnerables a los ataques de lo que son con una conexión dial-up. Nota: A menos que utilice el filtrado de paquetes en el router. Lo que la configuración se ve igual La figura 1 muestra una forma común para conectar a los usuarios de LAN a Internet. Cada vez que un . firewalls rápidamente se vendrán un estándar de la industria en ciertas situaciones. El objetivo particular es proteger el AS/400 y sus datos. Los usuarios de PC pueden acceder directamente a Internet a través del router. cada sistema (PC) que se conecta a Internet debe tener una dirección IP.Direcciones IP Publicado: Por lo general. Estos ejemplos siguen una progresión típica de la expansión de uso de Internet. Ejemplo 1 . con este tipo de conexión (LAN al router de Internet). Tener una dirección IP es similar a tener un número de teléfono publicado. Aunque un firewall puede ser en el futuro.que conecta a los usuarios de Internet Su primera incursión en la Internet podría ser la de proporcionar a los usuarios con acceso a la Internet. podría ser más de lo que sea necesario o pueda pagar hoy. En lugar de poner un módem en cada PC.Como organizaciones ampliar su uso de Internet y proporcionar acceso a Internet a más y más información. También pueden seguir teniendo acceso a su AS/400 a través de la LAN utilizando AS/400 Client Access. Tanto el AS/400 y sus equipos ya se encuentran en un (red de área local) inalámbrica. La mayor parte de las consideraciones de seguridad son válidos con y sin un firewall. Consideraciones de seguridad para este ejemplo Los siguientes son algunos de los riesgos de seguridad para el ejemplo 1 y las alternativas para hacer frente a los riesgos. En este ejemplo se da por supuesto que no quieres que nadie desde fuera de la red para acceder a AS/400. se desea proporcionar un punto central de acceso a Internet. Cada equipo contará con software de navegador de Web. Riesgo 1 . Cuando un router está conectado a la misma LAN que los PC. Varios de los siguientes ejemplos no tienen cortafuegos. un posible intruso puede intentar acceder a sus ordenadores cuando están encendidos. por ejemplo.

usuario de la red envía una solicitud de Internet, el paquete contiene la dirección IP del PC del usuario. Cualquier host en Internet que un PC contactos conoce la dirección IP del PS. Un posible intruso podría ser capaz de acceder a esa información y tratar de acceder al PC mediante el uso de la dirección IP. Soluciones de Seguridad Asegúrese de que el AS/400 no tiene una dirección IP. Esto protege el AS/400 de los ataques directos, incluyendo ataques de denegación de servicio. Eduque a sus usuarios de PC sobre la necesidad de proteger sus PCs de intentos de intrusión. Sus computadoras no deberían, por ejemplo, pueden configurar para iniciar los servidores TCP / IP (como TELNET o FTP). Asegúrese de que un intruso que irrumpe con éxito en un PC no se puede ir más allá de ese equipo en la red. Esta protección puede ser difícil, y depende en cierta medida de las prácticas de seguridad de los usuarios de PC. Un intruso se verá en el PC para obtener información, como los nombres de sistemas o programas de comunicación de puesta en marcha, que podrían ayudar a la ruptura intruso en otro sistema de la red. El intruso también buscará identificadores de usuario y contraseñas almacenadas en el PC. El AS/400 es vulnerable tanto a la parte más débil (PC con las prácticas de seguridad deficientes) y la contraseña más trivial. Utilice AS/400 autoridad objeto de proteger sus datos críticos. Utilice los valores del sistema de protección contra suspiro-en repetidos intentos. Utilice la auditoría de seguridad detectar intentos no autorizados de acceso a ambos sistemas y objetos en el sistema. Asegúrese de que nadie se inicia ninguna servidores TCP / IP en su sistema. Los hackers suelen ser más familiarizados con la aplicación TCP / IP (como FTP y Telnet) que están con AS/400 Client Access. Si un hacker se encuentra el nombre del sistema AS/400 cuando se navega por un ordenador, el hacker probablemente tratará de utilizar TELNET o FTP para acceder a AS/400 en lugar de tratar AS/400 Client Access. Controlar IOSYSCFG autoridad especial para restringir quién puede configurar TCP / IP. Restringir el que tiene autoridad para utilizar el comando STRTCP (Start TCP / IP). Si su router tiene la capacidad de filtrado de paquetes, configurar el router para reaccionar sesiones TCP / IP con una dirección IP de origen que está fuera de su red.

Riesgo 2 - Descarga de virus: Un virus es un programa que puede modificar otros programas para incluir una copia de sí mismo. El programa de virus normalmente realiza operaciones que pueden ocupar los recursos del sistema o destruir datos. Cuando los usuarios se conectan a Internet, puede ser que sin querer descargar un programa con un virus. Se pueden almacenar el programa infectado en una carpeta compartida o en el sistema de archivos integrado en el AS/400. Ese virus puede entonces ser copiado accidentalmente a otros ordenadores en su red. Soluciones de Seguridad El que AS/400, utilice autoridad objeto de controlar que los usuarios de PC pueden crear nuevos objetos. Si los usuarios de PC utilizan carpetas compartidas, utilice la autoridad de DLO (objetos de biblioteca de documentos) de limitar a la creación de nuevos documentos en carpetas específicas. Si los usuarios de PC utilizan el sistema de archivos integrado, el uso de la autoridad a los directorios de controlar donde pueden colocar nuevos objetos. Asegúrese de que la mayoría de los usuarios no tienen autoridad para crear autoridad del directorio raíz de RWX de RX. Ejecutar periódicamente programas de detección de virus contra los directorios o carpetas donde los usuarios de PC ponen nuevos objetos. (Para ejecutar un programa de virus scan, es probable que tenga que firmar desde un PC y un enlace a la carpeta o directorio que contiene nuevos programas.) Instale software antivirus-scan en todos los PC y requieren que los usuarios de PC para correr regularmente. Considere incluir el programa de exploración de virus en cada rutina de arranque PC. Considere organizar el movimiento de nuevos objetos a partir de unidades de PC privado a un entorno compartido. Moverlos a una unidad temporal (carpeta o directorio compartido) en primer lugar. Luego haga que un administrador del sistema moverlos a un entorno compartido después de ejecutar un programa antivirus-scan. Eduque a sus usuarios, tanto acerca de los virus y de los riesgos de descargar programas de fuentes no fiables. Ejemplo 2 - Proporcionar E-Mail

Ahora que los usuarios están conectados, quieren intercambiar e-mail (notas y mensajes electrónicos) con el mundo exterior. Lo que la configuración se ve igual Físicamente, la conexión aún puede verse como el ejemplo de la figura 1 . Ya sea que usted necesita para añadir software de correo electrónico, o puede utilizar el software que usted ya tiene. A continuación se presentan dos posibles opciones de software. Muchas más opciones están disponibles. • Si ya utiliza cualquiera OfficeVision o JustMail para OS/400, puede hacer cambios en la configuración para poder enviar y recibir correo electrónico a través de Internet. Tienes que empezar a tanto ICP / IP y el servidor SMTP (Simple Mail Transfer Protocol). Es necesario realizar cambios en el directorio de distribución del sistema para que funcione correctamente con SMTP. Tanto la configuración y de referencia TCP / IP y el frío Título Sobre el libro AS/400 e Internet describen cómo configurar SMTP y OfficeVision o JustMail para OS/400 de correo externo. Puede instalar el software de correo electrónico, como UltiMail Lite en sus PC. Software de correo electrónico basado en PC proporciona la capacidad para cargar y descargar el correo. Se conecta a su PC en un servidor para almacenar y reenviar correo. AS/400 proporciona esta capacidad con el servidor de Post Office Protocol (POP). O bien, su PC puede utilizar un servicio de correo de store-and-forward fuera de un proveedor de servicio. Consideraciones de seguridad para este ejemplo Al agregar el correo electrónico, la planificación de su seguridad debe ser más específico. Ya no se puede simplemente configurar un router para excluir todas las sesiones cuyo origen está fuera de su red. Ahora se puede suponer que el AS/400 no participará. Usuarios AS/400 que no tienen la capacidad de navegador web aún pueden enviar y recibir e-mail si decide permitirlo. A continuación se presentan dos riesgos de seguridad cuando se agrega e-mail al ejemplo que se muestra en la Figura 1 y las alternativas para hacer frente a los riesgos. En este ejemplo se da por supuesto que no quiere que nadie de fuera de la red para evaluar cualquier sistema dentro de la red, con la excepción del envío de correo electrónico a los usuarios de la red. El objetivo particular es proteger el AS/400 y sus datos.

Por ejemplo. configurar TCP / IP para que sólo el servidor SMTP y. Capítulo 2 en Consejos y herramientas para la seguridad del AS/400 tiene sugerencias para el control de señal interactiva. . Esto incluye tanto la creación y el inicio de sesión los valores del sistema de contraseñas y asegurarse de que no hay perfiles de usuario tienen contraseñas por defecto. para evitar que TELNET se inicie automáticamente. Su AS/400 ahora se hace visible para el mundo exterior y con sujeción a intento de intrusión. Asegúrese de que la autoridad no ha cambiado y revisar la lista de los usuarios que están autorizados a utilizar el comando.Figura 1 Riesgo 3-Publicado AS/400 Dirección: Si desea que su AS/400 para proporcionar servicios de correo electrónico para sus usuarios. Solución de Seguridad • • Utilice AS/400 capacidades de seguridad para proteger el sistema de autorización de sesión. Hasta que esté listo para las aplicaciones internas TCP / IP (siguiendo las precauciones en ejemplos posteriores). posiblemente. el servidor POP se inician automáticamente. es necesario registrar el AS/400 en Internet con una dirección IP. escriba lo siguiente: CHGTELNA AUTOSTART (* NO) Utilice los siguientes comandos para configurar AUTOSTART (* NO): CHGTELNA CHGHTTPA CHGFYPA CHGWSGA CHGLPDA CHGSNMPA • El comando para iniciar los servidores TCP / IP (STRTCPSVE) buques con la autoridad pública establecida en excluir. Utilice el comando adecuado atributos xxx Cambiar para evitar que otros servidores se inicien automáticamente.

Explorar la Red Usted puede haber hecho un buen trabajo de la seguridad de su AS/400 para que los hackers no pueden iniciar la sesión. Esto hace que sea más difícil para alguien para inundar el sistema con el correo no deseado que se enruta a través de su sistema a otro sistema.) • Riesgo 4 . Un puerto es como una puerta de entrada en el que la configuración TCP / IP. • Si es posible. Porque esos sistemas no están conectados directamente a Internet y que no esperan que el intento de intrusión. (Ellos viven en un barrio seguro y no necesitan cerraduras dobles o una alarma antirrobo. el sistema rechazará el correo que no se dirige a un usuario válido en tu red. Si ejecuta aplicaciones TCP / IP (como FTP) en su red interna. • Establecer un límite de umbral de almacenamiento auxiliar. El correo electrónico también puede tomar mucho espacio en el almacenamiento en disco que el sistema deje de funcionar.) Riesgo 5 . Sin un * CUALQUIER * CUALQUIER ingreso. Sin embargo. Esto evita que los objetos no deseados de la inundación de su sistema al punto en que no puede funcionar. Soluciones de seguridad: Las siguientes son sugerencias para limitar el impacto de los intentos de inundar el sistema.Inundaciones: Un juego que juegan los hackers es inundar el sistema con el correo no deseado. (Todas las aplicaciones TCP / IP se asocia a un puerto TCP / IP especial. Esto puede afectar negativamente al rendimiento del sistema. Las naves defecto como * Todo cambio que se inicie sólo el servidor SMTP (o los servidores SMTP y POP). (La copia de seguridad y recuperación avanzada de libros describe cómo configurar un límite de umbral de almacenamiento auxiliar.) .• Considere cambiar el valor predeterminado para el parámetro Server en el comando STRTCPSVR. debe configurar su router para rechazar todos los paquetes externos que van a cualquier puerto excepto el puerto SMTP (correo). su protección de seguridad puede ser menos rigurosa que la tuya. usted podría encontrar que el AS/400 proporciona un camino para llegar a otros sistemas de la red. evitar el uso de un * CUALQUIER * CUALQUIER entrada en el directorio de distribución del sistema.

• Riesgo 6 . utilice el mandato Trabajar con TCP / IP comando Point-to-Point (WRKTCPPTP) para configurar SLIP * Perfiles de ANS (respuesta) para evitar el reenvío de datagramas IP. El capítulo APPX en Consejos y herramientas para la seguridad del AS/400 describe cómo utilizar soporte de filtrado APPN. usted tiene la posibilidad de que un usuario envíe información confidencial con el mundo exterior. Tal vez ni el remitente ni el receptor se dieron cuenta de que el programa aparentemente inofensivo se está propagando un virus.) Si el AS/400 es parte de una red APPN. posiblemente. O alguien puede enviar un programa a un usuario en el sistema. Siga las mismas prácticas de protección antivirus que se describen en "Riesgo Virus 2-Downloading". Un programa de AS/400 no puede llegar disfrazado de otra cosa. Proporciona una protección de tipo firewall en su red APPN que le permite especificar qué pares ubicación pueden comunicarse. utilizar el nuevo soporte de filtrado PPN. Soluciones de Seguridad • • Debido a la arquitectura de AS/400 's. Educar a los usuarios sobre la posibilidad de recibir los programas de virus por e-mail.Recepción virus a través de E-Mail El correo entrante es una fuente potencial de virus de PC. los virus de PC pueden llegar en el correo.Soluciones de Seguridad • • Si utiliza SLIP (Protocolo Line Interface) en la red. el correo entrante es poco probable para infectar AS/400 sí mismo con un virus. Si usted tiene una conexión LAN-router. establezca los atributos de no permitir el reenvío de datagramas IP.Misdirected E-Mail Cuando su sistema de correo electrónico interno está conectado a la Internet. si su conexión de correo electrónico no está configurado correctamente. Esto evita que alguien que se entera de que su sistema de marcación y el uso de su sistema para acceder a otro sistema conectado (ya sea un PC o un AS/400) que podrían tener un activo TCP / IP del servidor. y tal vez incluso sin el conocimiento del usuario. Alguien puede adjuntar un programa a una nota. Sin embargo. de sus amigos y colegas. (Es necesario comprender cómo esto podría afectar el resto del tráfico en la red. Esto puede ocurrir por accidente. . Riesgo 7 .

Oler en la propia red troncal de Internet es poco probable debido a que la espina dorsal se compone de conexiones dedicadas de alta velocidad. la información en Internet no suele ser encriptada. • Si la información es lo suficientemente sensible que no lo leería en un autobús o en avión. tales como la línea telefónica de la casa de su empleado o la LAN en el lugar de un colega. • Riesgo 8 . Ellos deben tratar a una red pública tal como lo tratan a las líneas telefónicas no protegidos y los lugares públicos. por lo menos para los usuarios con perfiles de gran • . entonces es probable que no debe enviarla a través de Internet. Educar a los usuarios acerca de sus políticas para el envío de información confidencial a través de e-mail. los usuarios pueden explorar diferentes formas de trabajar. entonces usted probablemente no debería enviarla a través de Internet. excepto tal vez con un sobre doble. Con la tecnología actual. Pueden utilizar el correo electrónico como una herramienta para colaborar con colegas en un proyecto. entonces es probable que no debe enviarla a través de Internet. • Si no le enviará por correo normal. no son necesariamente bien protegidos. Soluciones de seguridad: La solución principal para la posibilidad de inhalación de datos confidenciales es la educación. prueba de lo que ocurre con el correo dirigido incorrectamente. Considere proporcionar perfiles de usuario diferentes para Internet y uso del correo electrónico. lo que significa que es vulnerable a oler. configurar su sistema de correo electrónico para requerir la confirmación del usuario antes de e-mail se envía fuera de la red.La exposición de información confidencial A medida que expande el uso de Internet y de las redes en general. Usted necesita actualizar su política de seguridad y educar a los usuarios. las conexiones de los periféricos. • Si la información es suficiente confidencial que usted no repetirla en un teléfono celular. Se transmite "en claro".Soluciones de Seguridad • • Al configurar su dirección de correo conexiones. Sin embargo. Tal vez se puede marcar en su sistema desde su casa o mientras viaja. ¿Alguno de una ID de usuario incorrecta o un nombre de sistema incorrecto (que no está en tu red) hacen que el correo que se envía a través de su enlace de correo de Internet? Si es posible.

) Consideraciones de seguridad para este ejemplo A continuación se presentan nuevos riesgos de seguridad cuando se utiliza una configuración como la de la Figura 1 y proporcionar una página de inicio en Internet. Se utiliza el servidor HTTP para servir a su página de inicio y otras páginas con hipervínculos a los visitantes de Internet. (Puede que ya tenga una dirección IP si el sistema AS/400 tiene una conexión de correo electrónico a través de Internet. No pasará mucho tiempo antes de que alguien sugiere: "Deberíamos tener nuestra propia página web. Proporcionar una página de inicio Sus usuarios no han estado navegando por la Web y el intercambio de e-mail con sus colegas de otras organizaciones.". si alguien ve un correo electrónico que un empleado envía. se puede asumir que todos los intentos de acceso a los servidores TCP / IP vienen de fuera de la red. • El servidor de Internet no podrá proporcionar información. Para cepillar la seguridad. Lo que la configuración se ve igual Físicamente. Si usted está usando un diverso precauciones de seguridad. De esta manera.Página de Inicio sin Interna TCP / IP En este ejemplo se asume lo siguiente: • Usted no utiliza TCP / IP internamente dentro de su propia red. . que utiliza un protocolo distinto de TCP / IP.alcance. Es necesario trabajar con su ISP para obtener una dirección IP y nombre de dominio. el espía no tendrá el nombre de un perfil de gran alcance en el sistema. Ejemplo 3 . Este ejemplo asume que usted no utiliza TCP / IP del servidor para los usuarios internos o aplicaciones. • Está utilizando el servidor HTTP proporcionado por IBM que forma parte de V3R2. no actualice los datos de su sistema (un servidor de sólo lectura). Los PCs se conectan al AS/400 con AS/400 Client Access." Otros se unen: "La Web es una gran manera de conseguir visibilidad. la conexión aún puede verse como el ejemplo de la figura 1 . con muy poco gasto Tener una página principal que hace que nuestra empresa un aspecto moderno y de vanguardia.

cuando se produce una intrusión. • Comience sólo los servidores TCP / IP que se necesitan: probablemente SMTL. (Utilice el comando TYPE DSPUSRPRF (* OBJAUT). Soluciones de seguridad • • Elevar el nivel de concienciación sobre la seguridad y la preocupación de su organización. Sin embargo. no a causa de fallas en el sistema mismo. usted está haciendo un esfuerzo consciente para informar a la gente de su presencia en Internet. POP y HTTP. El visitante se ejecuta el sistema.) Un cliente que utiliza el servidor HTTP nunca signos en el sistema. • Use la auditoría de seguridad para ayudar a detectar intentos de entrar en el sistema. FTP. Los hackers son más propensos a tomar conciencia de la existencia del sistema y tratar de entrar en ella. El . • Utilice Consejos y herramientas para la seguridad del AS/400 como una guía para la revisión de sus políticas y prácticas de seguridad. Usted necesita asegurarse de que no inicia los servidores TCP / IP que permiten el inicio de sesión (por ejemplo. puede encontrarse con que los usuarios y desarrolladores intención era proporcionar "un servicio más" a sus visitantes de Internet. Considere la posibilidad de contratar a una organización externa para realizar una auditoría de seguridad de sus sistemas. Los usuarios y desarrolladores no pueden analizar a fondo los posibles riesgos de seguridad de los servicios que desean ofrecer.Visibilidad del AS/400 Dirección: Si usted ha estado proporcionando el correo electrónico. Riesgo 10 . Monitorear regularmente las autoridades privadas que el perfil de usuario QTMHHTPP y QTMHHTPP! perfil de usuario tiene. Incluya revisiones de seguridad como parte del diseño de la aplicación. el AS/400 ya podría tener una dirección IP. Solución de Seguridad Siga las mismas sugerencias que se encuentran en "riesgo 3-Publicado AS/400." Ten en cuenta que las posibilidades de ser blanco son más altos y que tiene que ser aún más conscientes de la seguridad. cuando se crea una página de inicio y conocer que.Ingenio Desarrollador: Ahora que ha creado una página de inicio. Telnet o estación de trabajo de puerta de enlace). A menudo.Riesgo 9 . es a causa de los errores u omisiones en la aplicación de la seguridad.

Página principal de Interior TCP / IP Al explorar el Internet. Por ejemplo.Proporcionar aplicaciones adicionales. el usuario HTTP no puede hacer nada en su sistema excepto ver documentos de hipertexto que ha especificado. poner un programa CGI en su sistema.) Cuando esté listo para ampliar su página de inicio para más del documento de visión.vistor ejecuta bajo los usuarios QTMHHTTP el servidor HTTP nunca signos de su sistema. El cliente HTTP (homepage visitante) sólo puede realizar las funciones que se definen explícitamente en las directrices para el servidor HTTP. un usuario web browser no puede. Lo que la configuración se parece sin un firewall . revise la información en el "Ejemplo 6 ." • • • Asegúrese de que las páginas Web internas que se crean no son visibles fuera de la red interna. es posible ahora tener el servidor FTP que se ejecuta en el AS/400 para permitir a los usuarios descargar archivos. Utilice el mandato Trabajar con configuración HTTP (WRKHTTP) con definir estas directivas. por ejemplo. No instale programas CGI (Common Gateway Interface) o habilitar DB2WWW sin tanto conocimiento de las funciones que llevan a cabo y evaluar los riesgos de seguridad potenciales. El visitante se ejecuta bajo el perfil de usuario QTMHHTTP y sólo puede acceder a lo que el perfil QTMHHTTP o del público pueden tener acceso. El comando WRKHTTP requiere autorización especial * IOSYSCFG. • Nota: HTTP en AS/400 está diseñado para que "poner" los objetos desde un explorador Web no está permitido. Ejemplo 4 . Programas CGI utilizan el perfil de usuario QTMHHTP. (El tema Consejos para controlar el acceso HTTP en Consejos y herramientas para la seguridad del AS/400 y el capítulo HTTP en la configuración TCP / IP y Guías proporcionar más formación sobre el control de HTTP. los usuarios han descubierto que les gusta usar las aplicaciones TCP / IP. Si no se define ningún programa CGI y no activa el programa DB2WWWQ. Controlar cuidadosamente la autorización especial * IOSYSCFG y controlar el contenido de las directivas HTTP. Por lo tanto.

considerar la adopción de las siguientes estrategias: Soluciones de Seguridad • • Configure el router para rechazar las sesiones TCP / IP para puertos específicos (tales como puertos TELENET) si la sesión se origina desde una dirección IP externa. Consideraciones de seguridad para este ejemplo Su red ha llegado a un punto donde no se puede distinguir fácilmente entre las solicitudes de los usuarios internos y las peticiones de la parte exterior. la configuración podría seguir buscando el ejemplo de laFigura 1 . Utilice el tiempo de espera de inactividad capacidades de AS/400 y los servidores FTP. Si es posible detener los servidores TCP / IP. En particular. se ha abierto una puerta para los de afuera para tratar de iniciar la sesión. Sin embargo. utilice FTP anónimo y limitar severamente las capacidades que ofrece el programa de salida.Es evidente que el uso de un servidor de seguridad proporciona la mejor protección para su sistema de producción en este escenario. Si desea proporcionar servicios FTP a los forasteros. como FTP y Telnet. Aunque la configuración puede continuar para parecerse Figura 1 (sin cortafuegos y no hay ningún servidor de Internet dedicado). se reducen las posibilidades • • • . Consulte el Capítulo 2 en Consejos y herramientas para la seguridad del AS/400. durante las horas libres. Riesgo 11 .No autorizado Sign-on: Para tratar de evitar que los forasteros firmar correctamente en el sistema. Los hackers tienden a atacar más a menudo fuera de las horas normales de trabajo. Cuando usted tiene un servidor como FTP o Telnet activas en el sistema. Cuando se termina automáticamente sesiones que han estado inactivas por un período prolongado. utilizar lo siguiente: Utilice los programas de salida de FTP (disponible a partir de V3R2) para autorizar o denegar las solicitudes de FTP. los riesgos son mayores. Los siguientes son riesgos adicionales y posibles soluciones. como inicio de sesión FTP. Asegúrese de que está utilizando todas las herramientas de AS/400 para evitar autorizado el inicio de sesión. si usted decide no utilizar un servidor de seguridad.

Ejemplo Page 5-Home con AS/400 dedicado servidor de Internet El sistema AS/400 es fundamental para su negocio. puede que no necesite un servidor de seguridad debido a que su servidor de Internet no está conectado a la red.) Consideraciones de seguridad para este ejemplo sin un Firewall A continuación se presentan las consideraciones de seguridad adicionales y posibles soluciones cuando decide tener un servidor dedicado a Internet sin un firewall. se controla cuidadosamente tanto la configuración de las comunicaciones y el plazo para la conexión. lo que reduce las áreas de preocupación.) Use el agente de seguridad límite (QLKTSECOFR) valor del sistema para evitar perfiles poderosos de embarcar en dispositivos virtuales. no está disponible para el inicio de sesión durante offhours. "Firewalls-Visión general" proporciona una visión general de las funciones que realiza un servidor de seguridad. O. Se sospecha que una página web es sólo el comienzo. (Comando ADDACTSCDE para V3R2. . Su herramienta de comunicación y de servicio al cliente es probable que crezca rápidamente. Lo que las configuraciones se ve igual sin un Firewall Si el servidor AS/400 necesita poca o ninguna información de su sistema de producción. Usted decide separar su sever Internet desde su sistema de producción mediante la instalación de un sistema AS/400 dedicado como servidor de Internet. • Utilice el comando de activación Perfil Organizador (SCDPRFACT) para hacer los perfiles de usuario de gran alcance. (Se conecta por períodos muy cortos. si usted necesita para conectar el servidor de Internet con el AS/400 para descargar la información periódicamente. y monitorear cuidadosamente la actividad mientras está conectado. Piggy-respaldo esté colgando una sesión ilegítima a otra sesión activa en el mismo host. • Lo que la configuración se ve igual que con un Firewall Usted puede sentir el riesgo de una intrusión han crecido demasiado alto y que necesita un servidor de seguridad. como los perfiles oficiales de seguridad. El cortafuegos proporciona un único punto de la exposición a los extranjeros.de que un intruso puede cuestas en una sesión.

Riesgo 12 Interrupción del Servicio: Cuando el servidor de Internet está separada físicamente de la red de producción. • • Comience sólo los servidores TCP / IP que necesita para los servicios de Internet que usted brinda. . (Utilice el comando CHKDFTPWD o el comando ANZDFTPWD. Sin embargo. los sistemas de producción están protegidos contra la piratería.) Limite el número de perfiles de usuario que usted tiene en su servidor de Internet. pero puede afectar a su capacidad de prestar servicios a sus clientes de Internet. Estrictamente limitar la cantidad de información confidencial que se almacena en el servidor de Internet. considere el uso de programas de salida de FTP anónimo y (disponibles a partir de V3R2). Si utiliza FTP para proporcionar servicios a los forasteros (como la descarga de archivos o programas). • Penetración de riesgo 13 de la red: Si decide conectar el servidor de Internet de la red de producción. El impacto podría ser menos intenso. Asegúrese de que no hay perfiles de usuario tienen contraseñas por defecto. un hacker puede tratar de obtener de su servidor a los sistemas de producción. el servidor de Internet en sí mismo puede ser un objetivo. Configure las autorizaciones sobre objetos para asegurarse de que los usuarios no autorizados no puedan modificar la información que su están presentando a sus clientes de Internet. no lo inicie en el servidor de Internet. Si su servidor no necesita TELENET. Soluciones de Seguridad • No descuide la seguridad en el servidor de Internet: Proteger autorizados muestra-ons. Esto incluye los programas de código para las aplicaciones que usted considera que es importante la propiedad intelectual. Esto le da más control sobre lo que hace que el visitante FTP. No deberían tener ese mismo nombre que los perfiles de usuario que tiene en su sistema de producción.

Asegúrese de que el reenvío de datagramas IP no está activo en su servidor de Internet. Utilice una conexión APPN y soporte de filtrado APPN (función de tipo firewall) entre el AS/400 Internet y el AS/400 producción. las aplicaciones de Internet necesitan acceder a los archivos de base de datos para determinar la disponibilidad del producto. si. No copie los perfiles de usuario de su sistema de producción en el sistema de Internet. considere el uso de la cinta de transferencia de datos y no conectar los dos sistemas. O bien. El servidor de Internet está fuera del firewall. Su configuración puede ser como la figura 2 . Estrictamente limitar y controlar los perfiles de usuario que tienen autorización especial. Utilice un conjunto único de perfiles de usuario en el servidor de Internet.Soluciones de Seguridad • • Active la conexión sólo cuando lo necesita. por ejemplo. que no es necesario un enlace que está activo todo el tiempo. . • • • Lo que la configuración se parece con un Firewall Es posible que necesite conectar el servidor de Internet de la red de producción.Se convierte en un sistema no es de confianza. Si descarga datos de forma periódica en lugar de acceder a los datos "en vivo".

por ejemplo.Proporcionar Aplicaciones adicionales . Las aplicaciones que se conectan a su servidor a la red seguro deben tener autoridad pública de exclusión." Riesgo 14 . evitar que los visitantes de Internet de la firma en el servidor de Internet. Soluciones de Seguridad • • Utilizar el cortafuegos para limitar el tipo de interacción que se produce entre su red de confianza y su servidor de Internet. Ver "Riesgo 12-interrupción del servicio. Utilice sólo FTP anónimo. Cuando se termina automáticamente sesiones que han estado inactivas por un período prolongado. Utilice un conjunto único de perfiles de usuario en el servidor de Internet. • • • Ejemplo 6 . Cuando usted está planeando el flujo de información entre el servidor de Internet y de la red. Nota: Usted tiene el mismo potencial para la interrupción de su servidor de Internet que tengas sin un firewall. Asegúrese de que su servidor de Internet no ayuda a los hackers para penetrar en su red. que ciertas transacciones de ciertos identificadores de usuario son seguros.) Esto impide que el conocimiento de los identificadores de usuario y contraseñas y limita el tráfico IP que tendrá la dirección de su servidor de Internet como la dirección de origen. es fácil caer en la trampa de confiar en el servidor. No copie los perfiles de usuario de su sistema de producción en el sistema de Internet.Consideraciones de seguridad para este ejemplo con un servidor de seguridad A continuación se presentan algunas de las consideraciones de seguridad y las posibles soluciones cuando se tiene un servidor de Internet dedicado y un servidor de seguridad.Confiar en el servidor: El tratamiento de su propio servidor de Internet AS/400 como un extraño puede ser difícil. Utilice el tiempo de espera de inactividad capacidades de AS/400 y los servidores FTP. se reducen las posibilidades de que un intruso puede cuestas en una sesión. Sus desarrolladores pueden asumir incorrectamente. Esto evita que las aplicaciones que buscan perfiles de usuario de confundir un usuario interno con alguien intente acceder a su sistema a través de una laguna en su servidor de Internet. Si es posible. (No empiece TELENET.

Usted decide ir más allá de proporcionar una página de inicio de sólo lectura y los documentos con hipervínculos. • Crear programas CGI (Common Gateway Interface) que los clientes pueden poner en marcha (RUN). Usted puede hacer algunos o todos de los siguientes: • Usar la puerta de enlace HTML (servidor de pasarela de estación de trabajo) para hacer algunas de sus aplicaciones actuales 5. Soluciones de Seguridad Siga las sugerencias de "Riesgo 4 . • Lo que la configuración se ve igual Para obtener el rendimiento y razones de seguridad. • Proporcionar TELENET para que los clientes de Internet a firmar en el servidor Internet AS/400. seleccionando los puntos calientes en su página principal. Desea utilizar la Internet para proporcionar aplicaciones reales a sus clientes y socios comerciales. Consideraciones de seguridad para este ejemplo A continuación se presentan nuevos riesgos de seguridad y las posibles soluciones al expandir su servidor de Internet para ofrecer aplicaciones más allá del correo electrónico y leer sólo documentos.250 a disposición de los clientes de Internet. establecer límites de almacenamiento (MAXSTG parámetros) para los perfiles de usuario.Interrupción del Servicio: Su servidor está sujeto a ataques de denegación de servicio contra los hackers que simplemente quieren causar problemas con la capacidad del sistema para llevar a cabo. En el sistema del servidor. Esto evita que alguien que firma en su sistema . Riesgo 15 . es probable que tenga un servidor de Internet AS/400 dedicado que sea desconectada de la red de producción o separados de la red de producción por un firewall. Utilice DB2WWW para proporcionar acceso a la información de base de datos. incluyendo tanto los perfiles de clientes y el perfil de usuario OTSTROS.Inundaciones" y Risk12-la interrupción del servicio.

Soluciones de Seguridad Configure su servidor WSG (gateway estación de trabajo) para utilizar la estación de trabajo del servidor de puerta de enlace de sesión interfaz de punto de salida de validación. Riesgo 16 . (Comando PRTADPINF en el Security Toolkit PRDPQ. También configurar el WSG para no mostrar un signo-en la pantalla. (Asegúrese de que la autoridad pública a la biblioteca es USE o menos. Cuando se utiliza V3R2 apoyo a los programas CGI. WSG. Esto permite que el administrador de WSG para controlar tanto lo que se utilizan perfiles de usuario y qué aplicaciones se pueden ejecutar a través de la WSG. los programas CGI utilizan el perfil de usuario OTMHHTP1. Esto se aplica a HTTP. Evalúe cuidadosamente las funciones que estos programas proporcionan. También elimina el envío de nombres y contraseñas de perfil de usuario a través de Internet. como CGILIB.) Utilice la impresión adopción objetos (PRTADPOBJ) de comandos para controlar los nuevos programas que adoptan autorización y están disponibles para los clientes de Internet.Exploración de su servidor: Algunos visitantes de Internet a tratar de salir de las aplicaciones que usted proporciona para que puedan explorar el sistema y la red. • Restringir la autoridad de los perfiles de usuario que utiliza el sistema para las aplicaciones TCP / IP. Esto evita que un revoltoso se inicie muchas sesiones diferentes sólo para amarrar los recursos del sistema. y DB2WWW. Asegúrese de que su sistema de servidor está configurado para limitar el número de dispositivos virtuales que el sistema crea automáticamente. • Utilice las directivas y secuencias de comandos que los servidores TCP / IP proporcionan para controlar qué aplicaciones pueden hacer.con uno de estos perfiles de uso de una gran cantidad de almacenamiento auxiliar. Su desafío es ofrecerles servicios adecuados sin darles rienda suelta.) • . Entonces usted puede monitorear cuidadosamente el contenido de la biblioteca y el control que puede colocar nuevos objetos en la biblioteca.Consider CGI restricción en el sistema para una sola biblioteca. • Diseñar con cuidado y controlar las capacidades de los programas CGI. se especifica que las bibliotecas pueden ejecutar programas CGI from. Por ejemplo.

Firewall puede proporcionar los siguientes beneficios cuando la red está conectada a Internet: • • • • • Acceso controlado a los sistemas internos. Tenga en cuenta que el inicio de sesión TELNET información no está cifrada. Uso de FTP programas de salida. una combinación de hardware y software proporciona la función de servidor de seguridad. establecer ya sea un programa inicial o un menú inicial para restringir lo que el usuario puede hacer. como los sistemas de archivos de red. Un posible intruso puede "oler" el ID de usuario y la contraseña de una sesión de Telnet. • • • Firewalls . Revise el Capítulo 4 de Consejos y herramientas para la seguridad del AS/400 para otros consejos de seguridad TCP / IP. . Un servidor de seguridad podría combinarse en el mismo hardware con un router. El parámetro de la capacidad límite no se aplica a los comandos que el usuario FTP somete. Dependiendo de las funciones de firewall que usted necesita. usted puede encontrar que un router proporciona suficiente función del tipo de servidor de seguridad para sus necesidades. limitar la capacidad de los perfiles de usuario que realice disponible. o podría ser un sistema separado. Aplicación de la política de seguridad. Administración de la seguridad concentrado.Información general Un servidor de seguridad controla el acceso y el flujo de información entre una red segura (de confianza) y una red no segura (no confiable). Mayor privacidad y el secreto de la configuración de red. Por lo general. El parámetro de la capacidad límite también se evita que el usuario cambie el programa inicial y el menú inicial. Por ejemplo. Protección de los servicios vulnerables. Utilice el parámetro capacidades límite del perfil de usuario para evitar que el usuario la emisión de todos pero el lenguaje de control más inofensivo (CL) comandos.• Si usted permite que TELENET. Es necesario limitar severamente lo que los usuarios pueden hacer telnet por la forma de configurar los perfiles de usuario que "publicar" para el uso de Telnet.

Tráfico. la configuración de un router se vuelve muy difícil. Tanto la tecnología y estándares para servicios de tipo firewall se están expandiendo rápidamente. pero la dirección IP real del usuario se sustituye por la dirección del proxy. Los routers también son capaces de realizar el tráfico de bloqueo. A través de Internet.Estos servidores se denominan servidores proxy.• Mejora de la disponibilidad del sistema mediante el bloqueo de ataques de denegación de ataques de servicio. Red puerta de enlace Lógicamente. Aplicación de pasarela del servidor de seguridad proporciona un conjunto de servidores para vincular a los usuarios de la red segura de servicios de Internet. tanto dentro y fuera de la red pasa a través de la puerta de enlace. un firewall proporciona una puerta de enlace entre la red e Internet. Enfoque de la pasarela del cortafuegos es más fácil de configurar y administrar. que puede consistir en uno o más sistemas de cortafuegos (hardware y software). El servidor FTP de Internet sabe sobre el servidor proxy. no se permite el tráfico FTP) o específicos (no se permite el tráfico FTP desde un cierto rango de direcciones IP a una dirección IP determinada). Los servidores proxy son específicos de la aplicación. Tráfico de bloqueo puede ser de carácter general. Los cortafuegos son variados en la función que ellos proporcionan. Estadísticas de uso de la red y el uso indebido. Sin embargo. Ellos son comúnmente disponibles para FTP. Tráfico bloqueo Una de las funciones de un firewall es bloquear el tráfico no deseado entre las redes seguras y no seguras. El firewall puede ocultar tanto las direcciones IP y los nombres de dominio de la red interna. Relés correo son otra forma especializada de un servidor proxy. . como las reglas se vuelven más complejos. El usuario FTP se conecta al servidor proxy FTP que a continuación se conecta al servidor de FTP de Internet que el usuario ha solicitado. Protección de la reputación de su organización lo más seguro y confiable. HTTP y Telnet. la dirección IP y el nombre de dominio del servidor de seguridad representan la red. • • A continuación se presentan breves descripciones de algunas funciones de firewall comunes.

es necesario asegurarse de que los servidores de nombres de dominio no se puede utilizar para resolver los nombres de dominio de intranet. Servidores de los calcetines tienen la ventaja de ser en general. y aventurarse en el Internet. AS/400 y el futuro Sin duda. un servidor SOCKS requiere un poco de configuración de los clientes que se conectan a ella. todo el tráfico entrante sólo conoce de la dirección de los servidores de seguridad. usted ha leído que la computación en red es importante para el futuro de IBM y para el futuro de AS/400. tales como las siguientes: • • • Sockets seguros (conexiones TCP / IP cifrados) Funciones de cortafuegos estrechamente integrado Funciones de integridad de datos de red Al extender su empresa.2 nueva TCP / IP.400 Serie Avanzada para ser justo detrás de ti con las funciones y servicios que usted necesita. Si los usuarios quieren que las aplicaciones de Internet que no están disponibles en un servidor proxy. Usted ya ha visto mejoras AS/400 importantes para apoyar la red informática. ampliar su red. en lugar de específico de la aplicación. Usted puede esperar ver más mejoras AS/400 en las áreas de computación en red y la seguridad en el futuro. Todo el tráfico saliente tiene la apariencia de que la dirección es la de un servidor de seguridad. IBM cree que la computación en red es fundamental para el futuro de las organizaciones de nuestros clientes. El firewall tiene suficiente información para asignar información de dirección correcta para el tráfico de su red interna. usted puede esperar que IBM y AS/. Sirviendo Nombres de Dominio El firewall protege u oculta los dominios de intranet y direcciones.Un servidor de socket (SOCKS servidor) proporciona una función similar a los servidores proxy. Al configurar el servidor de seguridad. como tanto los servidores IP que soporte conexión a Internet y capacidad de cifrado de nivel de sesión para conexiones LU6. Dónde obtener más información y asistencia . El servidor de seguridad no se debería definir a Internet como un servidor de nombres de dominio. Por lo tanto.

** Un especialista en servicios de IBM instalar. El resultado del examen es un informe que resume los potenciales riesgos de seguridad y hace recomendaciones preliminares para la acción correctiva. ya sea con AS/400 de seguridad o con la conexión a Internet. .Muchos recursos están disponibles si usted necesita más información sobre la seguridad y la Internet. o si usted necesita ayuda. puede ponerse en contacto con su oficina de marketing exprés Servicios locales. póngase en contacto con su representante de IBM. o puede llamar al 1-800-IBM-4YOU. La planificación de la conexión a Internet de AS/400: Esta oferta de servicio le proporciona la información y orientación que necesita para determinar qué funciones de AS/400 para ofrecer a los usuarios de Internet. En la realización de este servicio. La sesión de planificación abarcará las funciones de conexión a Internet para AS/400 (V3R2) y compararlo con Web Server/400 de I / Net. A la finalización de este servicio. para que su empresa tenga una presencia en la World Wide Web.UU. usted tendrá una página Web prototipo. Revisión de seguridad para AS/400: Revisión de seguridad para AS/400 de IBM está disponible en los servicios de disponibilidad. Para obtener más información. SmoothStart de Web Server/400 de I / NET. En los EE. Ofertas de servicios A continuación se presentan descripciones o varias ofertas que están disponibles en IBM para ayudarle. configurar y adaptar Server/400 Web del I / NET. implementación y servicios de consultoría también están disponibles en IBM Availability Services.. Web Server/400 instalado y operacional. Planificación de la seguridad. La revisión incluye lo siguiente: • • • El uso de herramientas de seguridad Un cuestionario al cliente Una entrevista para recabar información sobre las prácticas de seguridad. usted será capaz de evaluar la aplicabilidad de la conexión a Internet para AS/400 en el entorno. y AS/400 TCP / IP configurado y listo para conectarse a Internet oa su intranet interna.

En la realización de este servicio. Análisis de Seguridad de Laboratorio: En el análisis que ofrece el laboratorio de seguridad. con buzones de correo creados por diez clientes de correo electrónico que se utilizará para su correo. El SmoothStart para la conexión a Internet para el servicio FTP AS/400Anonymous le proporcionará un especialista en servicios para ayudar a realizar las siguientes acciones: • • Planificar el uso de FTP anónimo para su entorno Configurar una salida de usuario FTP que permitirá a sus usuarios. cinco usuarios de correo non-AS/400 se definirán en el AS/400 para que pueda enviar correo a ellos. puede ofrecer a los usuarios de Internet. ahora se puede utilizar anónimo como un ID de usuario válido para los usuarios de protocolo de transferencia de archivos (FTP). Además.SmoothStart para la conexión a Internet para AS/400-Anonymous FTP V3R2: Con V3R2 de OS/400. Ellos evalúan la vulnerabilidad de la red y recomendar mejoras en la seguridad. el AS/400 se puede configurar tanto para permitir a los usuarios acceder a los archivos mediante FTP anónimo y evitar que accedan a los archivos que se restringe. • SmoothStart para la conexión a Internet para AS/400-POP Mail Server V3R2: V3R2 de OS/400 permite AS/400 ser un Post Office Protocol R3 (POP3) servidor de correo electrónico y mantener en los buzones de los usuarios que ejecutan un cliente POP3. el AS/400 se puede configurar como un servidor de correo POP3. ** A la finalización del servicio. El SmoothStart para la conexión a Internet para AS/400-POP Mail Server ofrece V3R2 le proporciona un especialista en servicios para configurar los objetos necesarios para permitir que el AS/400 para ser un servidor de correo POP3 para los clientes que están utilizando programas de correo como Eudora. consultores de IBM tratan de infiltrarse en las redes de los clientes. Los usuarios pueden recoger su correo electrónico cada vez que estén listos. . tanto para obtener los archivos de una biblioteca de AS/400 y poner los archivos a una biblioteca específica. el acceso a los archivos en el AS/400 y sin la necesidad de distribuir los identificadores de usuario y contraseñas de los usuarios. Windows. Con FTP anónimo. OS / 2 y Macintosh. Ultimail y otros clientes POP3 que se ejecutan en AIX. Usuarios de FTP también podrán cargar archivos a una biblioteca específica. Intranet o en su propio interior.

el equipo de respuesta de emergencia ayuda a los clientes a detectar. SC41-3701. proporciona información sobre la planificación y la instalación de una red de amplio espectro. y el compromiso de control. contener y recuperarse de la infiltración de la red sin autorización. . DB2 para OS/400 datebase Programación. describir y actualizar los archivos de base de datos en el sistema. También describe cómo definir los archivos en el sistema utilizando datos OS/400 especificaciones de descripción (DDS0 palabras clave. Le ayuda a entender cómo utilizar las funciones y características disponibles con V3R1 y V3R6 y nuevas funciones disponibles con conexión a Internet para AS/400 (V3R2). Usuario agrupaciones de almacenamiento auxiliar (ASP). transferencia de archivos. protección de vías de acceso. En el caso de un robo. proporciona capacidades de gestión de incidentes de expertos rápidos durante y después de una emergencia de seguridad electrónica. proporciona información sobre la configuración y la gestión de: diario. Este libro le ayuda a comenzar a usar rápidamente el correo electrónico. aislar.Servicio de Respuesta a Emergencias: El servicio de respuesta de emergencia para las empresas comerciales. reflejado. Backup y Recuperación-Advanced. incluso los umbrales de almacenamiento de configuración La protección de disco (por paridad de dispositivos. Además de una visión general de la tecnología de radio de espectro ensanchado. gopher. SG24-4815. y suma de comprobación) Enfriar Título Sobre el AS/400 e Internet. Publicaciones relacionadas A continuación se presentan las publicaciones que proporcionan más información acerca de la seguridad de AS/400: AS/400 Wireless LAN Planificación Manual de instalación. proporciona un análisis detallado de la organización de base de datos AS/400. y 5250 en Gateway HTML. G5710303. este libro también describe cómo prepararse para una inspección del lugar y asegurarse de que se cumplen los requisitos de la antena y el cableado de las áreas a ser cubiertas. emulación de terminal. puede ayudarle a acceder y usar el Internet (o su propia intranet) de su sistema AS/400. SC41-3305. incluyendo información sobre cómo crear. HTTP.

proporciona información para el administrador del sistema de trabajo con funciones de servidor AS/400. proporciona información para configurar y utilizar AS/400 TCP / IP. Loveland. SC41-3302. proporciona sugerencias prácticas y ejemplos para muchas áreas de AS/400 seguridad. y la impresora de líneas demonio (LPD). el establecimiento y seguimiento de la seguridad básica en el sistema AS/400. Proporciona orientación y sugerencias prácticas para la planificación.Reference . creación y gestión de seguridad de AS/400. SC41-3301. Protocolo de transferencia de hipertexto . y proporciona información sobre la planificación. como se describe en el Departamento de Defensa de los que puedes confiar Informática Criterios de Evaluación. Configuración y de referencia TCP / IP . lenguajes y utilidades. comunicaciones y conectividad de PC. perfiles de usuario. criptografía. SC41-3303. identifica y describe la información impresa y en línea en la biblioteca del AS/400 y también enumera otras publicaciones sobre el sistema AS/400. Incluye información de referencia cruzada entre la biblioteca actual y la biblioteca de la versión anterior.Habilitación para el C2 . OS/400 Conceptos Server y Administración. por Wayne Madden. Este manual no describe la seguridad de los programas específicos autorizados. SC41-3003. se describe cómo personalizar su sistema para satisfacer los requisitos de seguridad C2. Protocolo de Transferencia de Archivos (FTP). Publicaciones de referencia . Post Office Protocol (POP) solicitante impresora de líneas (LPR). Colorado: Duke Press. El libro incluye los conceptos de servidor. Protocolo simple de transferencia de correo (SMTP). explica por qué es necesaria la seguridad. Packet Internet Grouper (PNG). SC41-3420. y la información del programa de salida. una división de Duke Comunicaciones International. Las aplicaciones incluidas son de estado de red (NETSTAT).Basic. proporciona información completa acerca de los valores de seguridad del sistema. los recursos de seguridad y auditoría de seguridad.Una guía de implementación para la Seguridad y Auditoría de AS/400: Incluyendo C2. 1995. Implementación de la seguridad AS/400. define los principales conceptos. Seguridad . funciones severas. SC41-3740. Seguridad . Security . TELNET. GC24-4200.

SC41-3300 PRPQ Número de pedido. O'Reilly & Associates. TCP / IP y AS/400 Client Access Evitando que los usuarios curiosos de causar daños Evitando que los usuarios tortuosos de causar daño o robo de información V3R2 Número de pedido. . SC41-0125. describe los criterios para los niveles de confianza en los sistemas informáticos. . Se incluye una lista de recursos de información y un índice de sitios útiles para visitar. incluyendo las siguientes: • • • • Proteger interactivo de sesión El control APPC.STD. El Pascal interfaz de programa de aplicación TCP y UDP (API) también se discute. GC41-0615 Confiar Computer Systems Criterios de Evaluación . Atención: Jefe de Estándares de Seguridad Informática La Guía del Usuario de Internet completo y Catálogo de Ed Krol. Inc. Asegurar AS/400s Más y más propietarios de AS/400 están explorando sus opciones para vincular sus sistemas a Internet. Incluye muchos consejos de seguridad de AS/400. Las copias se pueden obtener en: Oficina de Normas y productos de National Computer Security Center Fort Meade. El TCSEC es una publicación del gobierno de los Estados Unidos. proporciona información introductoria.(HTTP).. instrucciones de instalación y los procedimientos de configuración para el soporte que ofrece programa bajo licencia del servidor de archivos.UU. . DoD 5200. . Maryland 20755-6000 EE. La primera pregunta que hacen es por lo general.28. Explica las funciones disponibles con el producto e incluye ejemplos y sugerencias para su uso con otros sistemas. y la estación de trabajo Gateway (WSG). Tip y herramientas para la seguridad AS/400 describe cómo utilizar las herramientas de seguridad (disponible antes de V3R2 como Security Toolkit para OS/400). TCP / IP del servidor de archivos de OS/400 Guía de instalación y del usuario . es una completa introducción a la Internet. 1994. "¿Cómo puedo hacerlo?" La segunda pregunta es: "¿Qué pasa con la seguridad?" Este .

"¿Cómo lo hago. un programa no puede modificar otro programa. No se puede acceder a un objeto directamente por su dirección en el sistema. ." veo "Dónde obtener más información y asistencia". ¿Quieres ser un cliente o un servidor de sólo lectura? ¿O usted quiere tomar los primeros pasos hacia el comercio electrónico? En última instancia. AS/400 Fortalezas Seguridad: La respuesta simple a "¿Qué pasa con la seguridad?" es que AS/400 tiene fuertes características de seguridad. que incluye lo siguiente: • • AS/400 seguridad integrada es extremadamente difícil de eludir en comparación con las ofertas de seguridad de otros sistemas que son paquetes de software adicionales. En el AS/400. vea el nuevo libro rojo. (Manipulación Pointer es una técnica popular para los hackers en otras arquitecturas de sistemas. AS/400 arquitectura basada en objetos hace que sea técnicamente difícil de crear y propagar el virus. pero usted debe tomar el tiempo para aprender acerca de las herramientas y utilizarlas.folleto intenta responder a la segunda pregunta para AS/400 en Internet: "¿Qué pasa con la seguridad?" Nota: Para obtener respuestas a la primera pregunta. SG24-4815 y de la configuración y de referencia TCDPIIP . • • Su política de seguridad y las necesidades: La larga respuesta a "¿Qué pasa con la seguridad?" empieza por "depende". La configuración de seguridad apropiada depende tanto de la forma en que se conecte a Internet y qué funciones de Internet que desea utilizar. No se puede manipular el puntero de un objeto para hacer un punto a otro objeto. Su definición de la seguridad puede ser diferente a otra persona. En él se enumeran publicación y ofertas de servicios que están disponibles para ayudarle. fresco Título Sobre el AS/400 y el Internet. AS/400 proporciona un sólido conjunto de herramientas de seguridad. AS/400 arquitectura basada en objetos requiere el uso proporcionados por el sistema interfaces para acceder a los objetos. También debe aprender sobre la seguridad de red .tanto los riesgos y las posibles soluciones. En particular.) AS/400 flexibilidad le permite configurar la seguridad de su sistema para satisfacer sus necesidades. la respuesta larga es que la seguridad depende de usted.

tienen cerraduras que requieren claves (autorización). Algunas de las habitaciones. con un conjunto bien definido de usuarios potenciales. algunos de los riesgos de seguridad asociados con ellos. Al ampliar su organización en Internet. y lo que debería. tanto a . es necesario ampliar su visión. Además de tomar una mirada más estricta. ¿Cómo se configura una necesidad de conocer el medio ambiente depende del tipo de servidor de Internet que desea proporcionar.Si usted tiene una política de seguridad de hoy en día. es posible que dejando muchos extranjeros de todo el mundo entrar en el sistema. A medida que su red crece. El resto de esta guía proporciona ejemplos de conexiones a Internet. El punto de vista del sistema que se muestra como una casa para hacerte sentir incómodo. o cajones de archivos dentro de las habitaciones. una política de seguridad proporciona una piedra angular importante para su planificación. Proporciona una entrada de seguridad (y la contraseña de inicio de sesión) y el acceso bastante abierto una vez que estás dentro. más rigurosa a la seguridad en su propio sistema. Un cambio en el pensamiento de Seguridad Si usted está pensando en la vinculación de su sistema informático de negocios AS/400 a Internet. tales como los archivos de nómina. el AS/400 típica se asemeja a un edificio. la mayoría de las habitaciones tienen puertas que no están bloqueados. debe estar disponible sólo para unos pocos usuarios (autoridades públicas estén EXCLUIR ). Los ejemplos se basan en uno al otro. Decida lo que el visitante necesita saber Internet y evitar el acceso a cualquier otra cosa. Las puertas (y ventanas) están bloqueados. Unos archivos confidenciales y sensibles. Desde una perspectiva de seguridad. La mayoría de los archivos están disponibles para ser vistos por cualquier usuario que pueda registrarse en el sistema (la autoridad pública es USE). es probable que tenga que revisarlo para abordar sus planes para una conexión a Internet.Es necesario pasar a una necesidad de saber enfoque pensamiento de seguridad. ahora es el momento de desarrollar una. es probable que tenga que empezar por revisar algunas de sus ideas sobre la seguridad. Si usted no tiene una política de seguridad hoy en día. Al proporcionar acceso a su sistema a través de Internet. Dentro del edificio. Leer a través de ellos y desarrollar una combinación que se ajuste más a sus necesidades. El sistema AS/400 típica existe en un ambiente agradable. o al menos examinar los documentos que están en su sistema. Los usuarios necesitan una clave (password) para acceder. y la consideración para ayudarle a reducir esos riesgos.

Cambie a una "necesidad de saber" y la mentalidad "de necesidad de hacer". Muy pocos usuarios de Internet son maliciosos. puede estar seguro de que su información está protegida. Sin embargo. privado. es posible que no se utilice la totalidad de las capacidades de seguridad de AS/400 que están disponibles. pero queda mucho trabajo por hacer. Proceder con Precaución En este momento. ambas partes deben utilizar el mismo método para generar claves de cifrado y los mismos algoritmos para cifrar y descifrar. cuando se conecta a Internet. La mayoría están simplemente buscando información y las formas más eficientes de hacer negocios. Cada vez que desee hacer una nueva aplicación disponible en Internet. Por ejemplo. los hackers están ahí fuera. dado el entorno actual es más amigable que el de Internet. los ejemplos más adelante en este folleto tienen un enfoque paso a paso para la conexión a Internet. Muchos grupos están trabajando para desarrollar estándares de seguridad de la red. cuando se envía contraseñas encriptadas. Se empieza con el lado de Internet de su sistema encerrado tan firmemente como sea posible. ya sea directa o indirectamente? TCP / IP e Internet están diseñados para la apertura y la interoperabilidad para que los clientes de Internet y servidores de Internet de muchos proveedores diferentes pueden comunicarse e intercambiar información con éxito. y hay que estar preparados. . que es un objetivo principal de este folleto. En el pasado. o proporcionar acceso dial-up a su sistema. En primer lugar. Esta apertura hace que sea difícil de construir las capacidades de seguridad de red. podría equiparar la seguridad con la seguridad del sistema.nivel interno con la LAN. comience por hacer las siguientes preguntas: • ¿Qué hace el usuario de Internet tiene que saber y hacer? • ¿Cómo evitamos que el usuario de Internet de ver o hacer cualquier otra cosa? • ¿Qué acceso funciona su programa o aplicación da a los usuarios de Internet. tiene que dar el primer paso importante de convertirse en un pensador de seguridad más rigurosos. con una red limitada. como externamente con Internet. AS/400 proveedores de capacidades de seguridad más integradas que muchos servidores de Internet. Mediante el uso de las capacidades de seguridad fuertes de AS/400. los distintos proveedores deben ponerse de acuerdo sobre las normas de seguridad. debe tener en cuenta tanto la seguridad del sistema y la seguridad de la red. Por esta razón. Ahora. tiene que pensar también en la seguridad de redes. Sin embargo. por ejemplo.

tales como la protección de la información confidencial y la creación de contraseñas no triviales. Una política de seguridad Definir lo que se quiere proteger y lo que espera de los usuarios del sistema.una definición Los temas siguientes proporcionan ejemplos de cómo se puede vincular su sistema de informática empresarial AS/400 a Internet. La capacidad para obtener todo tipo de recursos de sistemas es una fuerza AS/400. Sin embargo. por ejemplo. También puede encontrar que la conexión a Internet obliga a cambiar su definición de un usuario "público" en el sistema. autenticación de usuarios adquiere nuevas dimensiones. Para AS/400. Cada ejemplo incluye consejos y consideraciones para garantizar la seguridad. vamos a definir lo que entendemos por "seguridad". En él se describen las responsabilidades del usuario. después de evaluar cuidadosamente los riesgos y las precauciones de seguridad.al igual que el edificio se ha descrito anteriormente. Pero primero. Seguridad . AS/400 arquitectura. Al vincular el sistema a una red pública como Internet. la integridad del sistema es el componente más alto de seguridad. Sistema de Integridad La integridad del sistema es la capacidad del sistema para proporcionar los resultados esperados. Proporciona una base para la planificación de la seguridad cuando sea diseñar nuevas aplicaciones o ampliar su red. ya que la integridad del sistema es una parte fundamental de la arquitectura del AS/400. usted podría encontrar que usted no utiliza todas las capacidades de seguridad de los recursos de AS/400. La autenticación de usuarios asegurando que sólo las personas autorizadas (o trabajos) pueden entrar en el sistema. Protección de los recursos asegurando que sólo los usuarios autorizados pueden acceder a los objetos en el sistema. Ustedes puertas abiertas (las nuevas aplicaciones de Internet o nueva servidores TCP / IP). hace que sea . Una diferencia importante entre la Internet y de la intranet es su capacidad de confiar en la identidad de un usuario que se registre en. Una política de seguridad define la importancia de los activos de la empresa que están en nuestro sistema. poco a poco. en consonancia con el rendimiento esperado. una a la vez. sobre todo si se basan principalmente en el control de acceso a los menús.

Accesos sin éxito dicen que o bien que alguien está tratando de romper su seguridad o que alguien está teniendo dificultades para acceder a su sistema. con el correo no deseado o con la salida impresa. por lo general mediante la encriptación.extremadamente difícil para un revoltoso de imitar o modificar un programa de sistema operativo (cuando se utiliza el nivel de seguridad 40 o 50). el sistema debe cumplir con las siguientes normas de seguridad: . Cuando usted piensa acerca de la conexión a Internet. puede que no tenga su página Web correctamente configurado. Demostrar que se produjo la transmisión (no repudio). Esto comúnmente se llama denegación de servicio. Cuando los datos que entra en el sistema proviene de una red pública. Como mínimo. por las solicitudes de error. En el futuro. Sus usuarios legítimos. Un hacker puede. (Por ejemplo. es posible que tenga el equivalente electrónico del correo registrado o certificado. por ejemplo.) AS/400 seguridad mínima En los temas siguientes se supone que está comenzando con un sistema AS/400 que es básicamente seguro. Integridad de los datos Garantizar la fiabilidad de los datos que entra en su sistema. poner en peligro la capacidad del sistema para dar servicio a solicitudes de los usuarios por la inundación de su sistema. Asegúrese de que la transmisión no se ha modificado (integridad de datos).Un hacker puede poner en peligro la integridad de su sistema sin tener éxito en la sesión en el sistema. usted necesita pensar acerca de la integridad de su sistema y cómo un hacker puede tratar de asalto él. Su procesador puede ser abrumado por ejemplo. Accesos exitosos dicen que está haciendo qué. La auditoría de seguridad de monitoreo eventos relevantes para la seguridad de proporcionar un registro de acceso acertados y fallidos (negado). o bien no pueden iniciar sesión o recibir malos resultados debido a que su sistema está gastando los recursos relativos a las solicitudes autorizadas. Su almacenamiento en disco puede ser inundada. por ejemplo. es posible que tenga varias protecciones de seguridad: Proteger los datos de ser "olfateó" e interpretado.

Nivel 40 o 50 es muy recomendable. La necesidad de considerar un cortafuegos cuando se conecta el servidor AS/400 a Internet no es diferente que cuando se conecta a otros servidores de Internet. Mediante el uso de un servidor de seguridad. Utilizarán el control de contraseñas por defecto (CDKDFTPWD) de comandos o de las contraseñas predeterminadas analizados (ANZDFTPWD) comando para comprobar esto. Utilice las autorizaciones sobre objetos para proteger sus recursos importantes del sistema.• • Establezca el nivel de seguridad (valor del sistema QSECURITY) para tener por lo menos 30. los dos están limitando sus puntos de exposición y ocultar la configuración de red de los demás. tiene contraseñas por defecto. Debe configurar las autorizaciones sobre objetos en el sistema. las herramientas de seguridad están disponibles en la Seguridad ToolKit PRPQ. ya que proporcionan una mayor protección de la integridad Establezca los valores del sistema de seguridad pertinentes que ser al menos tan restrictivas como las configuraciones recomendadas. Asegúrese de que no hay perfiles de usuarios. Estas no son las únicas opciones disponibles. Utilice las herramientas de seguridad y consejos y herramientas para la seguridad del AS/400 para ayudar a administrar y supervisar la seguridad en su sistema. El comando PRTSYSSECA mando y CHKDFTPWD o ANZDFTPWD son parte de las herramientas de seguridad. . incluidos los perfiles de usuario suministrados por IBM. Control de acceso de menú no tiene sentido de muchas de las herramientas que son utilizadas por los usuarios de Internet. Usted puede utilizar el sistema de impresión atributos de seguridad (PRTSYSSECA) comando para comparar los ajustes a los valores recomendados. Ellos discuten los riesgos de seguridad y las posibles soluciones. • • • Algunos comentarios sobre los ejemplos: Los ejemplos que siguen ofrecen opciones típicas para conectar su sistema a Internet. Un cortafuegos correctamente configurado y administrado casi siempre es el método más seguro para conectar su sistema al resto del mundo. NOTA: Para las versiones anteriores a la V3R2. ni son necesariamente las opciones más seguras.

los PC de esta configuración son más vulnerables a los ataques de lo que son con una conexión dial-up. por ejemplo.que conecta a los usuarios de Internet Su primera incursión en la Internet podría ser la de proporcionar a los usuarios con acceso a la Internet. se desea proporcionar un punto central de acceso a Internet. Comienzan con el supuesto de que no se está usando el protocolo TCP / IP para comunicarse con otros sistemas de la red propia. Los usuarios de PC pueden acceder directamente a Internet a través del router. Nota: A menos que utilice el filtrado de paquetes en el router.Direcciones IP Publicado: Por lo general. un posible intruso puede intentar acceder a sus ordenadores cuando están encendidos. Tanto el AS/400 y sus equipos ya se encuentran en un (red de área local) inalámbrica. Lo que la configuración se ve igual La figura 1 muestra una forma común para conectar a los usuarios de LAN a Internet. Cada vez que un . firewalls rápidamente se vendrán un estándar de la industria en ciertas situaciones. En lugar de poner un módem en cada PC. podría ser más de lo que sea necesario o pueda pagar hoy. Aunque un firewall puede ser en el futuro. Cuando un router está conectado a la misma LAN que los PC. Estos ejemplos siguen una progresión típica de la expansión de uso de Internet. El objetivo particular es proteger el AS/400 y sus datos. Consideraciones de seguridad para este ejemplo Los siguientes son algunos de los riesgos de seguridad para el ejemplo 1 y las alternativas para hacer frente a los riesgos. Ejemplo 1 . En este ejemplo se da por supuesto que no quieres que nadie desde fuera de la red para acceder a AS/400. También pueden seguir teniendo acceso a su AS/400 a través de la LAN utilizando AS/400 Client Access. Varios de los siguientes ejemplos no tienen cortafuegos. Riesgo 1 . con este tipo de conexión (LAN al router de Internet). La mayor parte de las consideraciones de seguridad son válidos con y sin un firewall. Tener una dirección IP es similar a tener un número de teléfono publicado. cada sistema (PC) que se conecta a Internet debe tener una dirección IP.Como organizaciones ampliar su uso de Internet y proporcionar acceso a Internet a más y más información. Cada equipo contará con software de navegador de Web.

Si un hacker se encuentra el nombre del sistema AS/400 cuando se navega por un ordenador. el paquete contiene la dirección IP del PC del usuario. Un posible intruso podría ser capaz de acceder a esa información y tratar de acceder al PC mediante el uso de la dirección IP. configurar el router para reaccionar sesiones TCP / IP con una dirección IP de origen que está fuera de su red. Cualquier host en Internet que un PC contactos conoce la dirección IP del PS. como los nombres de sistemas o programas de comunicación de puesta en marcha. por ejemplo. Eduque a sus usuarios de PC sobre la necesidad de proteger sus PCs de intentos de intrusión. Controlar IOSYSCFG autoridad especial para restringir quién puede configurar TCP / IP.usuario de la red envía una solicitud de Internet. Soluciones de Seguridad Asegúrese de que el AS/400 no tiene una dirección IP. incluyendo ataques de denegación de servicio. Sus computadoras no deberían. Esta protección puede ser difícil. Utilice los valores del sistema de protección contra suspiro-en repetidos intentos. Asegúrese de que un intruso que irrumpe con éxito en un PC no se puede ir más allá de ese equipo en la red. que podrían ayudar a la ruptura intruso en otro sistema de la red. Esto protege el AS/400 de los ataques directos. pueden configurar para iniciar los servidores TCP / IP (como TELNET o FTP). el hacker probablemente tratará de utilizar TELNET o FTP para acceder a AS/400 en lugar de tratar AS/400 Client Access. El AS/400 es vulnerable tanto a la parte más débil (PC con las prácticas de seguridad deficientes) y la contraseña más trivial. El intruso también buscará identificadores de usuario y contraseñas almacenadas en el PC. Un intruso se verá en el PC para obtener información. Utilice la auditoría de seguridad detectar intentos no autorizados de acceso a ambos sistemas y objetos en el sistema. . Utilice AS/400 autoridad objeto de proteger sus datos críticos. Asegúrese de que nadie se inicia ninguna servidores TCP / IP en su sistema. Los hackers suelen ser más familiarizados con la aplicación TCP / IP (como FTP y Telnet) que están con AS/400 Client Access. y depende en cierta medida de las prácticas de seguridad de los usuarios de PC. Restringir el que tiene autoridad para utilizar el comando STRTCP (Start TCP / IP). Si su router tiene la capacidad de filtrado de paquetes.

Descarga de virus: Un virus es un programa que puede modificar otros programas para incluir una copia de sí mismo. Ejecutar periódicamente programas de detección de virus contra los directorios o carpetas donde los usuarios de PC ponen nuevos objetos. Considere incluir el programa de exploración de virus en cada rutina de arranque PC. el uso de la autoridad a los directorios de controlar donde pueden colocar nuevos objetos. Ejemplo 2 . Soluciones de Seguridad El que AS/400. es probable que tenga que firmar desde un PC y un enlace a la carpeta o directorio que contiene nuevos programas. tanto acerca de los virus y de los riesgos de descargar programas de fuentes no fiables. El programa de virus normalmente realiza operaciones que pueden ocupar los recursos del sistema o destruir datos. Considere organizar el movimiento de nuevos objetos a partir de unidades de PC privado a un entorno compartido. Moverlos a una unidad temporal (carpeta o directorio compartido) en primer lugar. puede ser que sin querer descargar un programa con un virus. Cuando los usuarios se conectan a Internet. Eduque a sus usuarios.) Instale software antivirus-scan en todos los PC y requieren que los usuarios de PC para correr regularmente. Asegúrese de que la mayoría de los usuarios no tienen autoridad para crear autoridad del directorio raíz de RWX de RX. Si los usuarios de PC utilizan el sistema de archivos integrado. utilice autoridad objeto de controlar que los usuarios de PC pueden crear nuevos objetos. Ese virus puede entonces ser copiado accidentalmente a otros ordenadores en su red. Luego haga que un administrador del sistema moverlos a un entorno compartido después de ejecutar un programa antivirus-scan.Proporcionar E-Mail . utilice la autoridad de DLO (objetos de biblioteca de documentos) de limitar a la creación de nuevos documentos en carpetas específicas.Riesgo 2 . Si los usuarios de PC utilizan carpetas compartidas. Se pueden almacenar el programa infectado en una carpeta compartida o en el sistema de archivos integrado en el AS/400. (Para ejecutar un programa de virus scan.

su PC puede utilizar un servicio de correo de store-and-forward fuera de un proveedor de servicio. Se conecta a su PC en un servidor para almacenar y reenviar correo. Lo que la configuración se ve igual Físicamente. Ahora se puede suponer que el AS/400 no participará. Ya no se puede simplemente configurar un router para excluir todas las sesiones cuyo origen está fuera de su red. Usuarios AS/400 que no tienen la capacidad de navegador web aún pueden enviar y recibir e-mail si decide permitirlo. Tanto la configuración y de referencia TCP / IP y el frío Título Sobre el libro AS/400 e Internet describen cómo configurar SMTP y OfficeVision o JustMail para OS/400 de correo externo. Software de correo electrónico basado en PC proporciona la capacidad para cargar y descargar el correo. A continuación se presentan dos riesgos de seguridad cuando se agrega e-mail al ejemplo que se muestra en la Figura 1 y las alternativas para hacer frente a los riesgos. Tienes que empezar a tanto ICP / IP y el servidor SMTP (Simple Mail Transfer Protocol). Riesgo 3-Publicado AS/400 Dirección: . Consideraciones de seguridad para este ejemplo Al agregar el correo electrónico. A continuación se presentan dos posibles opciones de software. O bien. con la excepción del envío de correo electrónico a los usuarios de la red.Ahora que los usuarios están conectados. Muchas más opciones están disponibles. AS/400 proporciona esta capacidad con el servidor de Post Office Protocol (POP). Es necesario realizar cambios en el directorio de distribución del sistema para que funcione correctamente con SMTP. Ya sea que usted necesita para añadir software de correo electrónico. o puede utilizar el software que usted ya tiene. En este ejemplo se da por supuesto que no quiere que nadie de fuera de la red para evaluar cualquier sistema dentro de la red. • Si ya utiliza cualquiera OfficeVision o JustMail para OS/400. como UltiMail Lite en sus PC. la conexión aún puede verse como el ejemplo de la figura 1 . Puede instalar el software de correo electrónico. puede hacer cambios en la configuración para poder enviar y recibir correo electrónico a través de Internet. quieren intercambiar e-mail (notas y mensajes electrónicos) con el mundo exterior. El objetivo particular es proteger el AS/400 y sus datos. la planificación de su seguridad debe ser más específico.

Las naves defecto como * Todo cambio que se inicie sólo el servidor SMTP (o los servidores SMTP y POP).) • Riesgo 4 . debe configurar su router para rechazar todos los paquetes externos que van a cualquier puerto excepto el puerto SMTP (correo).Si desea que su AS/400 para proporcionar servicios de correo electrónico para sus usuarios. (Todas las aplicaciones TCP / IP se asocia a un puerto TCP / IP especial. escriba lo siguiente: CHGTELNA AUTOSTART (* NO) Utilice los siguientes comandos para configurar AUTOSTART (* NO): CHGTELNA CHGHTTPA CHGFYPA CHGWSGA CHGLPDA CHGSNMPA • • El comando para iniciar los servidores TCP / IP (STRTCPSVE) buques con la autoridad pública establecida en excluir. Esto incluye tanto la creación y el inicio de sesión los valores del sistema de contraseñas y asegurarse de que no hay perfiles de usuario tienen contraseñas por defecto. Utilice el comando adecuado atributos xxx Cambiar para evitar que otros servidores se inicien automáticamente. posiblemente. Hasta que esté listo para las aplicaciones internas TCP / IP (siguiendo las precauciones en ejemplos posteriores). configurar TCP / IP para que sólo el servidor SMTP y. Asegúrese de que la autoridad no ha cambiado y revisar la lista de los usuarios que están autorizados a utilizar el comando. Un puerto es como una puerta de entrada en el que la configuración TCP / IP. Capítulo 2 en Consejos y herramientas para la seguridad del AS/400 tiene sugerencias para el control de señal interactiva.Inundaciones: . es necesario registrar el AS/400 en Internet con una dirección IP. Solución de Seguridad • • Utilice AS/400 capacidades de seguridad para proteger el sistema de autorización de sesión. Considere cambiar el valor predeterminado para el parámetro Server en el comando STRTCPSVR. Por ejemplo. para evitar que TELNET se inicie automáticamente. Si ejecuta aplicaciones TCP / IP (como FTP) en su red interna. Su AS/400 ahora se hace visible para el mundo exterior y con sujeción a intento de intrusión. el servidor POP se inician automáticamente.

(Es necesario comprender cómo esto podría afectar el resto del tráfico en la red. usted podría encontrar que el AS/400 proporciona un camino para llegar a otros sistemas de la red. (La copia de seguridad y recuperación avanzada de libros describe cómo configurar un límite de umbral de almacenamiento auxiliar.Explorar la Red Usted puede haber hecho un buen trabajo de la seguridad de su AS/400 para que los hackers no pueden iniciar la sesión. utilice el mandato Trabajar con TCP / IP comando Point-to-Point (WRKTCPPTP) para configurar SLIP * Perfiles de ANS (respuesta) para evitar el reenvío de datagramas IP. (Ellos viven en un barrio seguro y no necesitan cerraduras dobles o una alarma antirrobo. El correo electrónico también puede tomar mucho espacio en el almacenamiento en disco que el sistema deje de funcionar. Sin embargo.Un juego que juegan los hackers es inundar el sistema con el correo no deseado. • Establecer un límite de umbral de almacenamiento auxiliar. su protección de seguridad puede ser menos rigurosa que la tuya. • Si es posible.) Soluciones de Seguridad • • Si utiliza SLIP (Protocolo Line Interface) en la red. Sin un * CUALQUIER * CUALQUIER ingreso. el sistema rechazará el correo que no se dirige a un usuario válido en tu red.) .) Riesgo 5 . evitar el uso de un * CUALQUIER * CUALQUIER entrada en el directorio de distribución del sistema. Esto evita que alguien que se entera de que su sistema de marcación y el uso de su sistema para acceder a otro sistema conectado (ya sea un PC o un AS/400) que podrían tener un activo TCP / IP del servidor. Esto hace que sea más difícil para alguien para inundar el sistema con el correo no deseado que se enruta a través de su sistema a otro sistema. establezca los atributos de no permitir el reenvío de datagramas IP. Porque esos sistemas no están conectados directamente a Internet y que no esperan que el intento de intrusión. Esto evita que los objetos no deseados de la inundación de su sistema al punto en que no puede funcionar. Esto puede afectar negativamente al rendimiento del sistema. Soluciones de seguridad: Las siguientes son sugerencias para limitar el impacto de los intentos de inundar el sistema. Si usted tiene una conexión LAN-router.

• . y tal vez incluso sin el conocimiento del usuario. El capítulo APPX en Consejos y herramientas para la seguridad del AS/400 describe cómo utilizar soporte de filtrado APPN. Siga las mismas prácticas de protección antivirus que se describen en "Riesgo Virus 2-Downloading".• Si el AS/400 es parte de una red APPN. O alguien puede enviar un programa a un usuario en el sistema.Recepción virus a través de E-Mail El correo entrante es una fuente potencial de virus de PC. Riesgo 6 . prueba de lo que ocurre con el correo dirigido incorrectamente. posiblemente. Riesgo 7 . de sus amigos y colegas. Soluciones de Seguridad • • Debido a la arquitectura de AS/400 's. los virus de PC pueden llegar en el correo. Proporciona una protección de tipo firewall en su red APPN que le permite especificar qué pares ubicación pueden comunicarse. Tal vez ni el remitente ni el receptor se dieron cuenta de que el programa aparentemente inofensivo se está propagando un virus. utilizar el nuevo soporte de filtrado PPN. usted tiene la posibilidad de que un usuario envíe información confidencial con el mundo exterior. Un programa de AS/400 no puede llegar disfrazado de otra cosa. Esto puede ocurrir por accidente. ¿Alguno de una ID de usuario incorrecta o un nombre de sistema incorrecto (que no está en tu red) hacen que el correo que se envía a través de su enlace de correo de Internet? Si es posible.Misdirected E-Mail Cuando su sistema de correo electrónico interno está conectado a la Internet. Alguien puede adjuntar un programa a una nota. el correo entrante es poco probable para infectar AS/400 sí mismo con un virus. configurar su sistema de correo electrónico para requerir la confirmación del usuario antes de e-mail se envía fuera de la red. si su conexión de correo electrónico no está configurado correctamente. Educar a los usuarios sobre la posibilidad de recibir los programas de virus por e-mail. Sin embargo. Educar a los usuarios acerca de sus políticas para el envío de información confidencial a través de e-mail. Soluciones de Seguridad • • Al configurar su dirección de correo conexiones.

el espía no tendrá el nombre de un perfil de gran alcance en el sistema. por lo menos para los usuarios con perfiles de gran alcance." Otros se unen: "La Web es una gran manera de conseguir visibilidad. los usuarios pueden explorar diferentes formas de trabajar. • Si no le enviará por correo normal. • Si la información es lo suficientemente sensible que no lo leería en un autobús o en avión. Pueden utilizar el correo electrónico como una herramienta para colaborar con colegas en un proyecto.". Ellos deben tratar a una red pública tal como lo tratan a las líneas telefónicas no protegidos y los lugares públicos.Riesgo 8 . No pasará mucho tiempo antes de que alguien sugiere: "Deberíamos tener nuestra propia página web. entonces usted probablemente no debería enviarla a través de Internet. entonces es probable que no debe enviarla a través de Internet. Sin embargo. lo que significa que es vulnerable a oler. Se transmite "en claro". no son necesariamente bien protegidos. De esta manera.La exposición de información confidencial A medida que expande el uso de Internet y de las redes en general. Tal vez se puede marcar en su sistema desde su casa o mientras viaja. con muy poco gasto Tener una página principal que hace que nuestra empresa un aspecto moderno y de vanguardia. Con la tecnología actual. Oler en la propia red troncal de Internet es poco probable debido a que la espina dorsal se compone de conexiones dedicadas de alta velocidad. excepto tal vez con un sobre doble. • Si la información es suficiente confidencial que usted no repetirla en un teléfono celular. Soluciones de seguridad: La solución principal para la posibilidad de inhalación de datos confidenciales es la educación. la información en Internet no suele ser encriptada. entonces es probable que no debe enviarla a través de Internet. las conexiones de los periféricos. • Proporcionar una página de inicio Sus usuarios no han estado navegando por la Web y el intercambio de e-mail con sus colegas de otras organizaciones. tales como la línea telefónica de la casa de su empleado o la LAN en el lugar de un colega. Considere proporcionar perfiles de usuario diferentes para Internet y uso del correo electrónico. . Usted necesita actualizar su política de seguridad y educar a los usuarios. si alguien ve un correo electrónico que un empleado envía.

Es necesario trabajar con su ISP para obtener una dirección IP y nombre de dominio. Sin embargo. • Está utilizando el servidor HTTP proporcionado por IBM que forma parte de V3R2. (Puede que ya tenga una dirección IP si el sistema AS/400 tiene una conexión de correo electrónico a través de Internet. Lo que la configuración se ve igual Físicamente. Este ejemplo asume que usted no utiliza TCP / IP del servidor para los usuarios internos o aplicaciones. la conexión aún puede verse como el ejemplo de la figura 1 . no actualice los datos de su sistema (un servidor de sólo lectura).) Consideraciones de seguridad para este ejemplo A continuación se presentan nuevos riesgos de seguridad cuando se utiliza una configuración como la de la Figura 1 y proporcionar una página de inicio en Internet. Para cepillar la seguridad." Ten en cuenta que las posibilidades de ser blanco son más altos y que tiene que ser aún más conscientes de la seguridad.Página de Inicio sin Interna TCP / IP En este ejemplo se asume lo siguiente: • Usted no utiliza TCP / IP internamente dentro de su propia red. se puede asumir que todos los intentos de acceso a los servidores TCP / IP vienen de fuera de la red. Riesgo 9 . cuando se produce .Visibilidad del AS/400 Dirección: Si usted ha estado proporcionando el correo electrónico. usted está haciendo un esfuerzo consciente para informar a la gente de su presencia en Internet. Los hackers son más propensos a tomar conciencia de la existencia del sistema y tratar de entrar en ella. Los PCs se conectan al AS/400 con AS/400 Client Access. Si usted está usando un diverso precauciones de seguridad. Se utiliza el servidor HTTP para servir a su página de inicio y otras páginas con hipervínculos a los visitantes de Internet. A menudo. • El servidor de Internet no podrá proporcionar información. el AS/400 ya podría tener una dirección IP. Solución de Seguridad Siga las mismas sugerencias que se encuentran en "riesgo 3-Publicado AS/400. cuando se crea una página de inicio y conocer que. que utiliza un protocolo distinto de TCP / IP.Ejemplo 3 .

• Use la auditoría de seguridad para ayudar a detectar intentos de entrar en el sistema. Controlar cuidadosamente la autorización especial * IOSYSCFG y controlar el contenido de las directivas HTTP. POP y HTTP. Programas CGI utilizan el perfil de usuario QTMHHTP. Por lo tanto. poner un programa CGI en su sistema.Ingenio Desarrollador: Ahora que ha creado una página de inicio. • Comience sólo los servidores TCP / IP que se necesitan: probablemente SMTL. • Utilice Consejos y herramientas para la seguridad del AS/400 como una guía para la revisión de sus políticas y prácticas de seguridad. Monitorear regularmente las autoridades privadas que el perfil de usuario QTMHHTPP y QTMHHTPP! perfil de usuario tiene. Nota: HTTP en AS/400 está diseñado para que "poner" los objetos desde un explorador Web no está permitido. no a causa de fallas en el sistema mismo.una intrusión. Soluciones de seguridad • • Elevar el nivel de concienciación sobre la seguridad y la preocupación de su organización. Utilice el mandato • • . El visitante se ejecuta bajo el perfil de usuario QTMHHTTP y sólo puede acceder a lo que el perfil QTMHHTTP o del público pueden tener acceso. puede encontrarse con que los usuarios y desarrolladores intención era proporcionar "un servicio más" a sus visitantes de Internet. (Utilice el comando TYPE DSPUSRPRF (* OBJAUT). El cliente HTTP (homepage visitante) sólo puede realizar las funciones que se definen explícitamente en las directrices para el servidor HTTP. Riesgo 10 . Incluya revisiones de seguridad como parte del diseño de la aplicación. El visitante se ejecuta el sistema. El vistor ejecuta bajo los usuarios QTMHHTTP el servidor HTTP nunca signos de su sistema. Considere la posibilidad de contratar a una organización externa para realizar una auditoría de seguridad de sus sistemas. por ejemplo. Telnet o estación de trabajo de puerta de enlace). un usuario web browser no puede. Usted necesita asegurarse de que no inicia los servidores TCP / IP que permiten el inicio de sesión (por ejemplo. FTP. es a causa de los errores u omisiones en la aplicación de la seguridad.) Un cliente que utiliza el servidor HTTP nunca signos en el sistema. Los usuarios y desarrolladores no pueden analizar a fondo los posibles riesgos de seguridad de los servicios que desean ofrecer.

es posible ahora tener el servidor FTP que se ejecuta en el AS/400 para permitir a los usuarios descargar archivos. si usted decide no utilizar un servidor de seguridad. el usuario HTTP no puede hacer nada en su sistema excepto ver documentos de hipertexto que ha especificado. El comando WRKHTTP requiere autorización especial * IOSYSCFG. Sin embargo. Aunque la configuración puede continuar para parecerse Figura 1 (sin cortafuegos y no hay ningún servidor de Internet dedicado). • No instale programas CGI (Common Gateway Interface) o habilitar DB2WWW sin tanto conocimiento de las funciones que llevan a cabo y evaluar los riesgos de seguridad potenciales. Consideraciones de seguridad para este ejemplo Su red ha llegado a un punto donde no se puede distinguir fácilmente entre las solicitudes de los usuarios internos y las peticiones de la parte exterior. se ha abierto una puerta para los de afuera para tratar de iniciar la sesión.Trabajar con configuración HTTP (WRKHTTP) con definir estas directivas. (El tema Consejos para controlar el acceso HTTP en Consejos y herramientas para la seguridad del AS/400 y el capítulo HTTP en la configuración TCP / IP y Guías proporcionar más formación sobre el control de HTTP. revise la información en el "Ejemplo 6 . Ejemplo 4 . los riesgos son mayores. los usuarios han descubierto que les gusta usar las aplicaciones TCP / IP. la configuración podría seguir buscando el ejemplo de laFigura 1 . Por ejemplo. Cuando usted tiene un servidor como FTP o Telnet activas en el sistema. Lo que la configuración se parece sin un firewall Es evidente que el uso de un servidor de seguridad proporciona la mejor protección para su sistema de producción en este escenario. Si no se define ningún programa CGI y no activa el programa DB2WWWQ. Los siguientes son riesgos adicionales y posibles soluciones.Página principal de Interior TCP / IP Al explorar el Internet. ." • Asegúrese de que las páginas Web internas que se crean no son visibles fuera de la red interna.) Cuando esté listo para ampliar su página de inicio para más del documento de visión.Proporcionar aplicaciones adicionales.

Riesgo 11 . Utilice el comando de activación Perfil Organizador (SCDPRFACT) para hacer los perfiles de usuario de gran alcance. Utilice el tiempo de espera de inactividad capacidades de AS/400 y los servidores FTP. utilizar lo siguiente: Utilice los programas de salida de FTP (disponible a partir de V3R2) para autorizar o denegar las solicitudes de FTP. como los perfiles oficiales de seguridad. Asegúrese de que está utilizando todas las herramientas de AS/400 para evitar autorizado el inicio de sesión.) Use el agente de seguridad límite (QLKTSECOFR) valor del sistema para evitar perfiles poderosos de embarcar en dispositivos virtuales. como FTP y Telnet. Consulte el Capítulo 2 en Consejos y herramientas para la seguridad del AS/400.No autorizado Sign-on: Para tratar de evitar que los forasteros firmar correctamente en el sistema. Cuando se termina automáticamente sesiones que han estado inactivas por un período prolongado. El cortafuegos proporciona un único punto de la exposición a los extranjeros. Piggy-respaldo esté colgando una sesión ilegítima a otra sesión activa en el mismo host. se reducen las posibilidades de que un intruso puede cuestas en una sesión. En particular. Si es posible detener los servidores TCP / IP. durante las horas libres. no está disponible para el inicio de sesión durante offhours. utilice FTP anónimo y limitar severamente las capacidades que ofrece el programa de salida. • • • • • Lo que la configuración se ve igual que con un Firewall Usted puede sentir el riesgo de una intrusión han crecido demasiado alto y que necesita un servidor de seguridad. Si desea proporcionar servicios FTP a los forasteros. Los hackers tienden a atacar más a menudo fuera de las horas normales de trabajo. (Comando ADDACTSCDE para V3R2. como inicio de sesión FTP. considerar la adopción de las siguientes estrategias: Soluciones de Seguridad • • Configure el router para rechazar las sesiones TCP / IP para puertos específicos (tales como puertos TELENET) si la sesión se origina desde una dirección IP externa. lo que reduce las áreas de .

Lo que las configuraciones se ve igual sin un Firewall Si el servidor AS/400 necesita poca o ninguna información de su sistema de producción. Sin embargo. el servidor de Internet en sí mismo puede ser un objetivo. O.) Consideraciones de seguridad para este ejemplo sin un Firewall A continuación se presentan las consideraciones de seguridad adicionales y posibles soluciones cuando decide tener un servidor dedicado a Internet sin un firewall. Soluciones de Seguridad • No descuide la seguridad en el servidor de Internet: Proteger autorizados muestra-ons. Su herramienta de comunicación y de servicio al cliente es probable que crezca rápidamente. se controla cuidadosamente tanto la configuración de las comunicaciones y el plazo para la conexión. Se sospecha que una página web es sólo el comienzo. Ejemplo Page 5-Home con AS/400 dedicado servidor de Internet El sistema AS/400 es fundamental para su negocio. los sistemas de producción están protegidos contra la piratería. El impacto podría ser menos intenso. puede que no necesite un servidor de seguridad debido a que su servidor de Internet no está conectado a la red. y monitorear cuidadosamente la actividad mientras está conectado. Usted decide separar su sever Internet desde su sistema de producción mediante la instalación de un sistema AS/400 dedicado como servidor de Internet. Riesgo 12 Interrupción del Servicio: Cuando el servidor de Internet está separada físicamente de la red de producción. si usted necesita para conectar el servidor de Internet con el AS/400 para descargar la información periódicamente. . (Se conecta por períodos muy cortos. "Firewalls-Visión general" proporciona una visión general de las funciones que realiza un servidor de seguridad. pero puede afectar a su capacidad de prestar servicios a sus clientes de Internet.preocupación.

Configure las autorizaciones sobre objetos para asegurarse de que los usuarios no autorizados no puedan modificar la información que su están presentando a sus clientes de Internet. Si descarga datos de forma periódica en lugar de acceder a los datos "en vivo". considere el uso de programas de salida de FTP anónimo y (disponibles a partir de V3R2). (Utilice el comando CHKDFTPWD o el comando ANZDFTPWD.Asegúrese de que no hay perfiles de usuario tienen contraseñas por defecto.) Limite el número de perfiles de usuario que usted tiene en su servidor de Internet. • . Si utiliza FTP para proporcionar servicios a los forasteros (como la descarga de archivos o programas). • Penetración de riesgo 13 de la red: Si decide conectar el servidor de Internet de la red de producción. Estrictamente limitar la cantidad de información confidencial que se almacena en el servidor de Internet. Soluciones de Seguridad • • Active la conexión sólo cuando lo necesita. que no es necesario un enlace que está activo todo el tiempo. no lo inicie en el servidor de Internet. • • Comience sólo los servidores TCP / IP que necesita para los servicios de Internet que usted brinda. considere el uso de la cinta de transferencia de datos y no conectar los dos sistemas. Asegúrese de que el reenvío de datagramas IP no está activo en su servidor de Internet. Esto le da más control sobre lo que hace que el visitante FTP. No deberían tener ese mismo nombre que los perfiles de usuario que tiene en su sistema de producción. Si su servidor no necesita TELENET. un hacker puede tratar de obtener de su servidor a los sistemas de producción. O bien. Utilice una conexión APPN y soporte de filtrado APPN (función de tipo firewall) entre el AS/400 Internet y el AS/400 producción. Esto incluye los programas de código para las aplicaciones que usted considera que es importante la propiedad intelectual.

que ciertas transacciones de ciertos identificadores de usuario son seguros. por ejemplo. El servidor de Internet está fuera del firewall. Nota: Usted tiene el mismo potencial para la interrupción de su servidor de Internet que tengas sin un firewall. las aplicaciones de Internet necesitan acceder a los archivos de base de datos para determinar la disponibilidad del producto.• Utilice un conjunto único de perfiles de usuario en el servidor de Internet.Se convierte en un sistema no es de confianza." Riesgo 14 . Cuando usted está planeando el flujo de información entre el servidor de Internet y de la red. Sus desarrolladores pueden asumir incorrectamente. por ejemplo. Ver "Riesgo 12-interrupción del servicio. • Lo que la configuración se parece con un Firewall Es posible que necesite conectar el servidor de Internet de la red de producción.Confiar en el servidor: El tratamiento de su propio servidor de Internet AS/400 como un extraño puede ser difícil. No copie los perfiles de usuario de su sistema de producción en el sistema de Internet. es fácil caer en la trampa de confiar en el servidor. Si es posible. si. (No empiece TELENET. Consideraciones de seguridad para este ejemplo con un servidor de seguridad A continuación se presentan algunas de las consideraciones de seguridad y las posibles soluciones cuando se tiene un servidor de Internet dedicado y un servidor de seguridad.) Esto impide que el conocimiento de los identificadores de usuario y contraseñas y limita el tráfico IP que tendrá la dirección de su servidor de Internet como la dirección de origen. . Utilice sólo FTP anónimo. Estrictamente limitar y controlar los perfiles de usuario que tienen autorización especial. evitar que los visitantes de Internet de la firma en el servidor de Internet. Soluciones de Seguridad • • Utilizar el cortafuegos para limitar el tipo de interacción que se produce entre su red de confianza y su servidor de Internet. Su configuración puede ser como la figura 2 .

Usted puede hacer algunos o todos de los siguientes: • Usar la puerta de enlace HTML (servidor de pasarela de estación de trabajo) para hacer algunas de sus aplicaciones actuales 5. Desea utilizar la Internet para proporcionar aplicaciones reales a sus clientes y socios comerciales. • Lo que la configuración se ve igual Para obtener el rendimiento y razones de seguridad. Utilice DB2WWW para proporcionar acceso a la información de base de datos. Esto evita que las aplicaciones que buscan perfiles de usuario de confundir un usuario interno con alguien intente acceder a su sistema a través de una laguna en su servidor de Internet. Utilice el tiempo de espera de inactividad capacidades de AS/400 y los servidores FTP.250 a disposición de los clientes de Internet. • Crear programas CGI (Common Gateway Interface) que los clientes pueden poner en marcha (RUN). es probable que tenga un servidor de Internet AS/400 dedicado que sea desconectada de la red de producción o separados de la red de producción por un firewall. Asegúrese de que su servidor de Internet no ayuda a los hackers para penetrar en su red. • Proporcionar TELENET para que los clientes de Internet a firmar en el servidor Internet AS/400.Proporcionar Aplicaciones adicionales Usted decide ir más allá de proporcionar una página de inicio de sólo lectura y los documentos con hipervínculos. Consideraciones de seguridad para este ejemplo . seleccionando los puntos calientes en su página principal. • • Ejemplo 6 .• Utilice un conjunto único de perfiles de usuario en el servidor de Internet. No copie los perfiles de usuario de su sistema de producción en el sistema de Internet. se reducen las posibilidades de que un intruso puede cuestas en una sesión. Cuando se termina automáticamente sesiones que han estado inactivas por un período prolongado. Las aplicaciones que se conectan a su servidor a la red seguro deben tener autoridad pública de exclusión.

incluyendo tanto los perfiles de clientes y el perfil de usuario OTSTROS. Soluciones de Seguridad Configure su servidor WSG (gateway estación de trabajo) para utilizar la estación de trabajo del servidor de puerta de enlace de sesión interfaz de punto de salida de validación. Su desafío es ofrecerles servicios adecuados sin darles rienda suelta. Esto evita que alguien que firma en su sistema con uno de estos perfiles de uso de una gran cantidad de almacenamiento auxiliar.Inundaciones" y Risk12-la interrupción del servicio. Esto evita que un revoltoso se inicie muchas sesiones diferentes sólo para amarrar los recursos del sistema. Soluciones de Seguridad Siga las sugerencias de "Riesgo 4 . Esto permite que el administrador de WSG para controlar tanto lo que se utilizan perfiles de usuario y qué aplicaciones se pueden ejecutar a través de la WSG. En el sistema del servidor. establecer límites de almacenamiento (MAXSTG parámetros) para los perfiles de usuario. También elimina el envío de nombres y contraseñas de perfil de usuario a través de Internet. .Exploración de su servidor: Algunos visitantes de Internet a tratar de salir de las aplicaciones que usted proporciona para que puedan explorar el sistema y la red.Interrupción del Servicio: Su servidor está sujeto a ataques de denegación de servicio contra los hackers que simplemente quieren causar problemas con la capacidad del sistema para llevar a cabo. También configurar el WSG para no mostrar un signo-en la pantalla. Asegúrese de que su sistema de servidor está configurado para limitar el número de dispositivos virtuales que el sistema crea automáticamente. Riesgo 16 .A continuación se presentan nuevos riesgos de seguridad y las posibles soluciones al expandir su servidor de Internet para ofrecer aplicaciones más allá del correo electrónico y leer sólo documentos. Riesgo 15 .

Utilice las directivas y secuencias de comandos que los servidores TCP / IP proporcionan para controlar qué aplicaciones pueden hacer. • • • • • • Firewalls . Entonces usted puede monitorear cuidadosamente el contenido de la biblioteca y el control que puede colocar nuevos objetos en la biblioteca. (Comando PRTADPINF en el Security Toolkit PRDPQ. como CGILIB.• • Restringir la autoridad de los perfiles de usuario que utiliza el sistema para las aplicaciones TCP / IP. limitar la capacidad de los perfiles de usuario que realice disponible. Evalúe cuidadosamente las funciones que estos programas proporcionan.Consider CGI restricción en el sistema para una sola biblioteca.) Utilice la impresión adopción objetos (PRTADPOBJ) de comandos para controlar los nuevos programas que adoptan autorización y están disponibles para los clientes de Internet. Esto se aplica a HTTP. Por ejemplo. Es necesario limitar severamente lo que los usuarios pueden hacer telnet por la forma de configurar los perfiles de usuario que "publicar" para el uso de Telnet. establecer ya sea un programa inicial o un menú inicial para restringir lo que el usuario puede hacer. Cuando se utiliza V3R2 apoyo a los programas CGI. y DB2WWW. Diseñar con cuidado y controlar las capacidades de los programas CGI. Utilice el parámetro capacidades límite del perfil de usuario para evitar que el usuario la emisión de todos pero el lenguaje de control más inofensivo (CL) comandos. (Asegúrese de que la autoridad pública a la biblioteca es USE o menos. Un posible intruso puede "oler" el ID de usuario y la contraseña de una sesión de Telnet. Uso de FTP programas de salida. Revise el Capítulo 4 de Consejos y herramientas para la seguridad del AS/400 para otros consejos de seguridad TCP / IP. se especifica que las bibliotecas pueden ejecutar programas CGI from. El parámetro de la capacidad límite no se aplica a los comandos que el usuario FTP somete. Tenga en cuenta que el inicio de sesión TELNET información no está cifrada.) Si usted permite que TELENET.Información general . El parámetro de la capacidad límite también se evita que el usuario cambie el programa inicial y el menú inicial. los programas CGI utilizan el perfil de usuario OTMHHTP1. Por ejemplo. WSG.

Protección de los servicios vulnerables. Estadísticas de uso de la red y el uso indebido. Mejora de la disponibilidad del sistema mediante el bloqueo de ataques de denegación de ataques de servicio. Tráfico de bloqueo puede ser de carácter general. Los cortafuegos son variados en la función que ellos proporcionan. Un servidor de seguridad podría combinarse en el mismo hardware con un router.Un servidor de seguridad controla el acceso y el flujo de información entre una red segura (de confianza) y una red no segura (no confiable). Aplicación de la política de seguridad. Tanto la tecnología y estándares para servicios de tipo firewall se están expandiendo rápidamente. Administración de la seguridad concentrado. Tráfico bloqueo Una de las funciones de un firewall es bloquear el tráfico no deseado entre las redes seguras y no seguras. Sin embargo. . Por lo general. como los sistemas de archivos de red. usted puede encontrar que un router proporciona suficiente función del tipo de servidor de seguridad para sus necesidades. • • • A continuación se presentan breves descripciones de algunas funciones de firewall comunes. como las reglas se vuelven más complejos. o podría ser un sistema separado. Mayor privacidad y el secreto de la configuración de red. Enfoque de la pasarela del cortafuegos es más fácil de configurar y administrar. Protección de la reputación de su organización lo más seguro y confiable. una combinación de hardware y software proporciona la función de servidor de seguridad. Firewall puede proporcionar los siguientes beneficios cuando la red está conectada a Internet: • • • • • Acceso controlado a los sistemas internos. Dependiendo de las funciones de firewall que usted necesita. la configuración de un router se vuelve muy difícil. no se permite el tráfico FTP) o específicos (no se permite el tráfico FTP desde un cierto rango de direcciones IP a una dirección IP determinada). Los routers también son capaces de realizar el tráfico de bloqueo.

un firewall proporciona una puerta de enlace entre la red e Internet.Red puerta de enlace Lógicamente. A través de Internet. AS/400 y el futuro . Si los usuarios quieren que las aplicaciones de Internet que no están disponibles en un servidor proxy. un servidor SOCKS requiere un poco de configuración de los clientes que se conectan a ella. Un servidor de socket (SOCKS servidor) proporciona una función similar a los servidores proxy. Todo el tráfico saliente tiene la apariencia de que la dirección es la de un servidor de seguridad. Los servidores proxy son específicos de la aplicación.Estos servidores se denominan servidores proxy. es necesario asegurarse de que los servidores de nombres de dominio no se puede utilizar para resolver los nombres de dominio de intranet. Servidores de los calcetines tienen la ventaja de ser en general. El firewall puede ocultar tanto las direcciones IP y los nombres de dominio de la red interna. pero la dirección IP real del usuario se sustituye por la dirección del proxy. Sirviendo Nombres de Dominio El firewall protege u oculta los dominios de intranet y direcciones. El servidor de seguridad no se debería definir a Internet como un servidor de nombres de dominio. todo el tráfico entrante sólo conoce de la dirección de los servidores de seguridad. Tráfico. Ellos son comúnmente disponibles para FTP. HTTP y Telnet. la dirección IP y el nombre de dominio del servidor de seguridad representan la red. El usuario FTP se conecta al servidor proxy FTP que a continuación se conecta al servidor de FTP de Internet que el usuario ha solicitado. El servidor FTP de Internet sabe sobre el servidor proxy. que puede consistir en uno o más sistemas de cortafuegos (hardware y software). Aplicación de pasarela del servidor de seguridad proporciona un conjunto de servidores para vincular a los usuarios de la red segura de servicios de Internet. Relés correo son otra forma especializada de un servidor proxy. Por lo tanto. en lugar de específico de la aplicación. Al configurar el servidor de seguridad. El firewall tiene suficiente información para asignar información de dirección correcta para el tráfico de su red interna. tanto dentro y fuera de la red pasa a través de la puerta de enlace.

La revisión incluye lo siguiente: • • • El uso de herramientas de seguridad Un cuestionario al cliente Una entrevista para recabar información sobre las prácticas de seguridad. Dónde obtener más información y asistencia Muchos recursos están disponibles si usted necesita más información sobre la seguridad y la Internet. Para obtener más información. o puede llamar al 1-800-IBM-4YOU. o si usted necesita ayuda. ya sea con AS/400 de seguridad o con la conexión a Internet. Usted puede esperar ver más mejoras AS/400 en las áreas de computación en red y la seguridad en el futuro. tales como las siguientes: • • • Sockets seguros (conexiones TCP / IP cifrados) Funciones de cortafuegos estrechamente integrado Funciones de integridad de datos de red Al extender su empresa. .400 Serie Avanzada para ser justo detrás de ti con las funciones y servicios que usted necesita.Sin duda. póngase en contacto con su representante de IBM. El resultado del examen es un informe que resume los potenciales riesgos de seguridad y hace recomendaciones preliminares para la acción correctiva. puede ponerse en contacto con su oficina de marketing exprés Servicios locales. como tanto los servidores IP que soporte conexión a Internet y capacidad de cifrado de nivel de sesión para conexiones LU6. En los EE.UU. y aventurarse en el Internet. Usted ya ha visto mejoras AS/400 importantes para apoyar la red informática.2 nueva TCP / IP. IBM cree que la computación en red es fundamental para el futuro de las organizaciones de nuestros clientes. usted ha leído que la computación en red es importante para el futuro de IBM y para el futuro de AS/400. Ofertas de servicios A continuación se presentan descripciones o varias ofertas que están disponibles en IBM para ayudarle. ampliar su red. usted puede esperar que IBM y AS/.. Revisión de seguridad para AS/400: Revisión de seguridad para AS/400 de IBM está disponible en los servicios de disponibilidad.

y AS/400 TCP / IP configurado y listo para conectarse a Internet oa su intranet interna. Web Server/400 instalado y operacional. A la finalización de este servicio. La planificación de la conexión a Internet de AS/400: Esta oferta de servicio le proporciona la información y orientación que necesita para determinar qué funciones de AS/400 para ofrecer a los usuarios de Internet. implementación y servicios de consultoría también están disponibles en IBM Availability Services. ahora se puede utilizar anónimo como un ID de usuario válido para los usuarios de protocolo de transferencia de archivos (FTP). para que su empresa tenga una presencia en la World Wide Web. ** Un especialista en servicios de IBM instalar. tanto para obtener los archivos de una biblioteca de AS/400 y poner los archivos a una biblioteca específica. SmoothStart para la conexión a Internet para AS/400-Anonymous FTP V3R2: Con V3R2 de OS/400.Planificación de la seguridad. usted será capaz de evaluar la aplicabilidad de la conexión a Internet para AS/400 en el entorno. el acceso a los archivos en el AS/400 y sin la necesidad de distribuir los identificadores de usuario y contraseñas de los usuarios. usted tendrá una página Web prototipo. SmoothStart de Web Server/400 de I / NET. La sesión de planificación abarcará las funciones de conexión a Internet para AS/400 (V3R2) y compararlo con Web Server/400 de I / Net. • . En la realización de este servicio. El SmoothStart para la conexión a Internet para el servicio FTP AS/400Anonymous le proporcionará un especialista en servicios para ayudar a realizar las siguientes acciones: • • Planificar el uso de FTP anónimo para su entorno Configurar una salida de usuario FTP que permitirá a sus usuarios. Usuarios de FTP también podrán cargar archivos a una biblioteca específica. configurar y adaptar Server/400 Web del I / NET. puede ofrecer a los usuarios de Internet. En la realización de este servicio. Intranet o en su propio interior. Con FTP anónimo. el AS/400 se puede configurar tanto para permitir a los usuarios acceder a los archivos mediante FTP anónimo y evitar que accedan a los archivos que se restringe.

aislar. Además de una visión general de la tecnología de radio de espectro ensanchado. proporciona información sobre la planificación y la instalación de una red de amplio espectro. G5710303. este libro también describe cómo prepararse para una inspección del lugar y asegurarse de que se cumplen los requisitos de la antena y el cableado de las áreas a ser cubiertas. consultores de IBM tratan de infiltrarse en las redes de los clientes. Ellos evalúan la vulnerabilidad de la red y recomendar mejoras en la seguridad. El SmoothStart para la conexión a Internet para AS/400-POP Mail Server ofrece V3R2 le proporciona un especialista en servicios para configurar los objetos necesarios para permitir que el AS/400 para ser un servidor de correo POP3 para los clientes que están utilizando programas de correo como Eudora. Publicaciones relacionadas A continuación se presentan las publicaciones que proporcionan más información acerca de la seguridad de AS/400: AS/400 Wireless LAN Planificación Manual de instalación. Análisis de Seguridad de Laboratorio: En el análisis que ofrece el laboratorio de seguridad. Ultimail y otros clientes POP3 que se ejecutan en AIX. el AS/400 se puede configurar como un servidor de correo POP3. contener y recuperarse de la infiltración de la red sin autorización.SmoothStart para la conexión a Internet para AS/400-POP Mail Server V3R2: V3R2 de OS/400 permite AS/400 ser un Post Office Protocol R3 (POP3) servidor de correo electrónico y mantener en los buzones de los usuarios que ejecutan un cliente POP3. Servicio de Respuesta a Emergencias: El servicio de respuesta de emergencia para las empresas comerciales. proporciona capacidades de gestión de incidentes de expertos rápidos durante y después de una emergencia de seguridad electrónica. En el caso de un robo. Además. OS / 2 y Macintosh. ** A la finalización del servicio. Los usuarios pueden recoger su correo electrónico cada vez que estén listos. cinco usuarios de correo non-AS/400 se definirán en el AS/400 para que pueda enviar correo a ellos. con buzones de correo creados por diez clientes de correo electrónico que se utilizará para su correo. el equipo de respuesta de emergencia ayuda a los clientes a detectar. . Windows.

identifica y describe la información impresa y en línea en la biblioteca del AS/400 y también enumera otras . El libro incluye los conceptos de servidor. y suma de comprobación) Enfriar Título Sobre el AS/400 e Internet. describir y actualizar los archivos de base de datos en el sistema. y 5250 en Gateway HTML. y el compromiso de control. proporciona un análisis detallado de la organización de base de datos AS/400. incluyendo información sobre cómo crear. creación y gestión de seguridad de AS/400. transferencia de archivos. Una guía de implementación para la Seguridad y Auditoría de AS/400: Incluyendo C2. SC41-3003. gopher. reflejado. HTTP. SC41-3701. SC41-3305. incluso los umbrales de almacenamiento de configuración La protección de disco (por paridad de dispositivos. Implementación de la seguridad AS/400. 1995. También describe cómo definir los archivos en el sistema utilizando datos OS/400 especificaciones de descripción (DDS0 palabras clave. puede ayudarle a acceder y usar el Internet (o su propia intranet) de su sistema AS/400. comunicaciones y conectividad de PC. proporciona información para el administrador del sistema de trabajo con funciones de servidor AS/400. Proporciona orientación y sugerencias prácticas para la planificación. protección de vías de acceso. GC24-4200. y la información del programa de salida. Publicaciones de referencia . Colorado: Duke Press.Backup y Recuperación-Advanced. emulación de terminal. Le ayuda a entender cómo utilizar las funciones y características disponibles con V3R1 y V3R6 y nuevas funciones disponibles con conexión a Internet para AS/400 (V3R2). SG24-4815. una división de Duke Comunicaciones International. por Wayne Madden. Loveland. criptografía. Este libro le ayuda a comenzar a usar rápidamente el correo electrónico. proporciona información sobre la configuración y la gestión de: diario. DB2 para OS/400 datebase Programación. OS/400 Conceptos Server y Administración. Usuario agrupaciones de almacenamiento auxiliar (ASP). funciones severas. SC41-3740. proporciona sugerencias prácticas y ejemplos para muchas áreas de AS/400 seguridad.

Post Office Protocol (POP) solicitante impresora de líneas (LPR). y la estación de trabajo Gateway (WSG). Packet Internet Grouper (PNG).publicaciones sobre el sistema AS/400. Explica las funciones disponibles con el producto e incluye ejemplos y sugerencias para su uso con otros sistemas. y la impresora de líneas demonio (LPD). los recursos de seguridad y auditoría de seguridad.Habilitación para el C2 . SC41-0125. Incluye muchos consejos de seguridad de AS/400. Las aplicaciones incluidas son de estado de red (NETSTAT). Tip y herramientas para la seguridad AS/400 describe cómo utilizar las herramientas de seguridad (disponible antes de V3R2 como Security Toolkit para OS/400). proporciona información para configurar y utilizar AS/400 TCP / IP. proporciona información introductoria. TELNET. Protocolo de transferencia de hipertexto (HTTP). explica por qué es necesaria la seguridad. SC41-3302. Incluye información de referencia cruzada entre la biblioteca actual y la biblioteca de la versión anterior. El Pascal interfaz de programa de aplicación TCP y UDP (API) también se discute. Protocolo de Transferencia de Archivos (FTP). Configuración y de referencia TCP / IP . SC41-3420. como se describe en el Departamento de Defensa de los que puedes confiar Informática Criterios de Evaluación. SC41-3303. Seguridad . se describe cómo personalizar su sistema para satisfacer los requisitos de seguridad C2. Protocolo simple de transferencia de correo (SMTP). SC41-3301. perfiles de usuario. TCP / IP y AS/400 Client Access Evitando que los usuarios curiosos de causar daños . incluyendo las siguientes: • • • Proteger interactivo de sesión El control APPC.Reference . define los principales conceptos. lenguajes y utilidades.Basic. TCP / IP del servidor de archivos de OS/400 Guía de instalación y del usuario . Este manual no describe la seguridad de los programas específicos autorizados. Seguridad . Security . proporciona información completa acerca de los valores de seguridad del sistema. instrucciones de instalación y los procedimientos de configuración para el soporte que ofrece programa bajo licencia del servidor de archivos. el establecimiento y seguimiento de la seguridad básica en el sistema AS/400. y proporciona información sobre la planificación.

DoD 5200. 1994. .28. O'Reilly & Associates.STD. GC41-0615 Confiar Computer Systems Criterios de Evaluación . . SC41-3300 PRPQ Número de pedido. .. Atención: Jefe de Estándares de Seguridad Informática La Guía del Usuario de Internet completo y Catálogo de Ed Krol.• Evitando que los usuarios tortuosos de causar daño o robo de información V3R2 Número de pedido. describe los criterios para los niveles de confianza en los sistemas informáticos. . es una completa introducción a la Internet. Inc. El TCSEC es una publicación del gobierno de los Estados Unidos. Las copias se pueden obtener en: Oficina de Normas y productos de National Computer Security Center Fort Meade. Se incluye una lista de recursos de información y un índice de sitios útiles para visitar. .UU. Maryland 20755-6000 EE.